บทบาทของ Non-IT Auditors & IT Auditors กับ การทุจริต และการประสานงานการตรวจสอบร่วมกันอย่างเป็นระบบ

พ.ค. 20, 2009

ITG & IT Audit + Fraud InvestigationITG & IT Audit + Fraud Investigation

วันนี้ผมขอคุยกันในเรื่องที่ยังเป็น Hot issue อยู่ในวงการสถาบันการเงิน การตรวจสอบ การประชุมของคณะกรรมการตรวจสอบ คณะกรรมการบริหารความเสี่ยง ++ ในหลายๆองค์กร ถึงเรื่องการทุจริตที่ ธอส และผลที่ติดตามมา ในหลายๆแง่มุม และเช้าวันนี้เช่นกัน ผมได้ดูทีวีพบข่าวเกี่ยวกับเรื่องการทุจริตบัญชีเงินฝากของลูกค้าหลายรายที่ธนาคารธนชาต สาขาอุบลราชธานี เป็นเงินเบื้องต้นประมาณ 20 ล้านบาท ก็เลยนำข้อคิดในเรื่องเกี่ยวกับบทบาทของ Non – IT Auditors กับ IT Auditors รวมทั้งการประสานงานบางมุมมองมาเล่าสู่กันฟัง ดังนี้ครับ

ITG & IT Audit + Fraud Investigation and IT Understanding

ITG & IT Audit + Fraud Investigation and IT Understanding

ส่วนใหญ่ มักตั้งเป็นคำถาม และคำถามๆ ที่มีข้อมูลและข้อเท็จจริงค่อนข้างจำกัด รวมทั้งตัวผมเองด้วยนะครับ เรื่องนี้คงได้พูดคุยและวิจารณ์กันได้หลายแง่มุมไปอีกนานทีเดียว เก็บไว้ค่อยๆคุยกันอย่างสร้างสรรเพื่อสร้างคุณค่าเพิ่มต่อกัน และแน่นอนครับว่าเรื่องนี้จะเป็น Lesson-Learned ที่ดี ในหลายมุมมอง ทั้งด้านการตรวจสอบ IT & Non-IT ++ โดยเฉพาะอย่างยิ่งมุมมองของ การบริหารความเสี่ยงระดับองค์กร หรือ COSO-Enterprise Risk Management

วันนี้ เรามาคุยกันในหัวข้อที่ว่า Non-IT Auditors
จะตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ได้อย่างไร ? จะมีกระบวนการตรวจสอบ ที่เริ่มจาก การกำหนดขอบเขต และการวางแผนการตรวจสอบกันอย่างไร ? ในมุมมองของการตรวจสอบแบบค้นหาการทุจริต การติดตามการทุจริต การหาหลักฐานการตรวจสอบการทุจริต การจัดทำรายงาน++

บางท่านเริ่มคำถามว่า เราจะตรวจสอบได้อย่างไรในเมื่อกระบวนการทำงาของระบบงานได้รับการประมวลผลด้วย IT Process+Technology+Manual ระดับหนึ้ง
และคำถามอีกมากมาย++

โปรดดูภาพข้างต้น และโปรดใช้ดุลยพินิจของท่าน ผสมผสานกับหลักการตรวจสอบตามฐานความเสี่ยงทั้งทางด้าน IT & Non-IT++รวมทั้งมาตรฐานการตรวจสอบที่เกี่ยวข้อง++ ท่านจะได้รับคำตอบที่น่าสนใจอย่างยิ่ง ของจุดอ่อน และส่วนที่เป็นจุดเปิดของความเสี่ยง (Exposure) ที่จะก่อให้เกิดความเสียหาย รวมทั้งการทุจริตที่คาดไม่ถึงครับ

ไว้คุยกันในตอนต่อๆไปนะครับ ผมเพียงให้ท่านที่สนใจพิจารณาว่า ความเข้าใจในการประมวลผลข้อมูล การใช้ข้อมูลและสารสนเทศเพื่อการกำกับ เพือการบริหาร เพื่อการตรวจสอบ นั้นมีความสำคัญเพียงใด โดยเฉพาะจาก Lesson-Learned ทั้งในประเทศและต่างประเทศครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ด่วน !การเรียกค่าไถ่การทุจริตทางด้านคอมพิวเตอร์กับจุดอ่อนของระบบงานของ Healthcare IT Security

พ.ค. 15, 2009

วันนี้ ผมได้รับทราบข้อมูลจากนายแพทย์ สุธี ทุวิรัตน์ ผู้บริหารของโรงพยาบาลรามคำแหง เกี่ยวกับกรณีการฉกข้อมูล Virginia Prescription Monitoring Program เพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งผมขออนุญาตคุณหมอสุธี เพื่อนำมาเผยแพร่ต่อเพื่อการศึกษา วิเคราะห์เกี่ยวกับเรื่องการบริหารความเสี่ยง จากแง่มุมของ IT Risk ไปสู่ Business Risk รวมทั้งการเสียชื่อเสียงและการไว้วางใจที่ติดตามมาอย่างมากมาย โดยมีข้อความที่น่าสนใจดังต่อไปนี้

ในขณะที่บ้านเรามีปัญหาการทุจริตในธนาคารอาคารสงเคราะห์ ซึ่งจากการวิเคราะห์ของผม น่าจะมีสาเหตุจากการที่พนักงานอาศัยช่องโหว่ในระบบไอที และอาจจะมีปัญหาการหย่อนยานหรือไม่เข้มงวดในการแบ่งแยกหน้าที่ ( Segregration of duty ) เลยทำให้การทุจริตไม่ถูกตรวจพบ และกว่าจะรู้ตัวก็เกิดความเสียหายถึง 500 ล้านบาท ส่งผลกระทบต่อผู้บริหาร และสร้างปัญหาความเชื่อมั่นของสาธารณชนเป็นอย่างมาก

ในประเทศสหรัฐอเมริกาก็กำลังมีปัญหาใหญ่ในเรื่องของ Healthcare IT Security ซึ่งกำลังส่งผลกระทบต่อผู้บริหารของมลรัฐ Virginia เป็นอย่างมาก รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดัน Eletronic Medical Record ให้เป็นวาระแห่งชาติ เมื่อปรากฏว่ามีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ

จากนั้นก็ทิ้งข้อความเรียกค่าไถ่ 10 ล้านเหรียญ โดยขู่ว่าถ้าไม่ได้รับเงินจำนวนดังกล่าวภายใน 7 วัน จะนำรายชื่อดังกล่าวไปประมูลขายในตลาดมืด เหตุการณ์นี้เกิดขึ้นเมื่อวันที่ 30 เมษายน 2552 นี้เอง ทำให้เว็ปไซด์ของมลรัฐ Virginia (www.dhp.virginia.gov ) ต้องปิดตัวลงชั่วคราว และจนวันนี้ ( 9 พ.ค. 2552 ) ก็ยังไม่สามารถกู้ข้อมูลคืนมาได้ แม้ว่าจะเลยกำหนดเส้นตายที่แฮกเกอร์ขู่ไว้แล้ว

ประเด็นการวิเคราะห์ในกรณีนี้ก็คือ
1. แฮกเกอร์สามารถลบหรือทำการเข้ารหัสข้อมูลที่ทำสำเนาไว้ได้อย่างไร ( Backup Files รวมทั้ง Off Site Backup ) รายการนี้น่าจะเป็นฝีมือคนใน หรือเจ้าหน้าที่ภายในมีส่วนรู้เห็นเป็นใจ

2. กรณีนี้ถือเป็นภัยคุกคามรูปแบบใหม่ที่รุนแรงกว่า Cyber Crime น่าจะเรียกว่าเป็น Cyber Terrorism ก็ได้ เพราะเป็นการเรียกค่าไถ่ โดยเอาข้อมูลส่วนตัวของประชาชนจำนวน 8 ล้านคนเป็นตัวประกัน นับเป็นกรณีศึกษาและอาชญากรรมที่รุนแรงที่สุดในประวัติศาสตร์ของประเทศอเมริกาเลยทีเดียว

3. ผลกระทบต่อประชาชนที่ข้อมูลถูกแฮกไปที่น่าเป็นห่วงก็คือ Identiy Theft เพราะอาจจะมีการเอาข้อมูลส่วนตัวเหล่านี้ไปแอบอ้างต่อสถาบันการเงินเพื่อขอสินเชื่อ ซึ่งก็มีข้อแนะนำว่าประชาชนเหล่านี้ต้องหมั่นตรวจสอบข้อมูลเครดิตของตนเองกับ เครดิตบูโร อย่างถี่ถ้วน ไปอย่างน้อยอีก 2 ปี นอกจากนี้อาจจะมีคนร้ายเอาข้อมูลการใช้ยาเหล่านี้ไปสวมรอยใช้สิทธิเพื่อซื้อยา ( ยาประเภทเสพติดควบคุม ) แล้วไปขายต่อในตลาดมืด ทำให้เจ้าของข้อมูลตัวจริงไม่สามารถที่จะซื้อยาได้

4. ทางราชการโดยมลรัฐ Virginia จะรับมือกับการเรียกร้องค่าเสียหายจากประชาชนที่ได้รับความเดือดร้อนในครั้งนี้อย่างไร และใครจะเป็นแพะที่ต้องถูกบูชายัญจากเหตุการณ์ครั้งนี้

5. ถึงแม้ว่าจะมีข้อมูลที่ทำสำเนาไว้ และสามารถกู้ข้อมูลคืนมาได้ทั้งหมด แต่ข้อเท็จจริงก็คือข้อมูลเหล่านี้ได้ถูก Compromised ไปเรียบร้อยแล้ว และผู้ที่ฉกไปก็มีโอกาสที่จะนำเอาไปหาประโยชน์ในตลาดมืดได้ ดังนั้นทางการรัฐเวอร์จิเนีย ย่อมไม่สามารถปฏิเสธความรับผิดชอบได้อยู่ดี

6. กรณีดังกล่าวถือเป็นบทเรียนครั้งสำคัญที่จะส่งผลอย่างมาก สะท้อนให้เห็นถึงความจำเป็นที่ต้องมีการสังคายนาระบบความมั่นคงปลอดภัยของสารสนเทศทางการแพทย์ของประเทศสหรัฐอเมริกา อย่างขนานใหญ่

7. คำถามสำหรับผู้บริหารในประเทศไทยก็คือ ถ้าเกิดมีโรงพยาบาลขนาดใหญ่ถูกฉกข้อมูลและเรียกค่าไถ่แบบนี้บ้าง ท่านผู้บริหารจะทำอย่างไร ถ้าเป็นโรงพยาบาลเอกชนก็คงหนีไม่พ้นที่จะต้องยอมจ่ายค่าไถ่ และถ้าข่าวแพร่ออกไปก็คงจะถึงขั้นปิดกิจการไปเลยทีเดียว ในกรณีของรัฐ Virginia นี้เป็นระบบฐานข้อมูลที่ติดตามการสั่งยา ประเภทที่อาจจะเสพติดหรือต้องควบคุม ซึ่งการที่ระบบต้องปิดตัวลง ยังไม่กระทบต่อการให้บริการต่อสาธารณชนแต่อย่างใด

แต่ก็เป็นที่น่าสังเกตุว่าในหน่วยงานของรัฐบาลอเมริกาที่มีมาตรฐานค่อนข้างจะสูง ยังไม่สามารถกู้ข้อมูลคืนได้แม้เวลาจะล่วงเลยมา 10 วันแล้ว น่ากลัวมากนะครับ แต่ถ้าเป็นกรณีของโรงพยาบาลแล้ว ระบบไอทีต้องหยุดให้บริการแค่วันเดียวก็โกลาหลกันไปทั้งโรงพยาบาลแล้ว ไม่ว่าจะเป็นแพทย์ พยาบาลหรือเจ้าหน้าที่ รวมทั้งคนไข้ผู้รับบริการ

Business Model for Information Security and Audit Committee/Auditors

Business Model for Information Security and Audit Committee/Auditors

ท่านผู้อ่านที่สนใจในเรื่องราวที่นายแพทย์สุธี เล่าสู่กันฟังข้างต้น ท่านคิดอย่างไรครับในแง่มุมของคณะกรรมการ และผู้บริหาร ผู้ตรวจสอบภายใน และผู้กำกับหน่วยงานภาครัฐ เกณฑ์การประเมินการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยง รวมทั้งการบริหารจัดการสารสนเทศ และบทบาทของคณะกรรมการ รวมทั้งการพัฒนาบุคลากร ควรมีการปรับปรุงและเปลี่ยนแปลงอย่างไรบ้างครับ จากแผนภาพข้างต้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ด่วน !การเรียกค่าไถ่การทุจริตทางด้านคอมพิวเตอร์กับจุดอ่อนของระบบงานของ Healthcare IT Security

พ.ค. 15, 2009

วันนี้ ผมได้รับทราบข้อมูลจากนายแพทย์ สุธี ทุวิรัตน์ ผู้บริหารของโรงพยาบาลรามคำแหง เกี่ยวกับกรณีการฉกข้อมูล Virginia Prescription Monitoring Program เพื่อเรียกค่าไถ่ 10 ล้านเหรียญ ซึ่งผมขออนุญาตคุณหมอสุธี เพื่อนำมาเผยแพร่ต่อเพื่อการศึกษา วิเคราะห์เกี่ยวกับเรื่องการบริหารความเสี่ยง จากแง่มุมของ IT Risk ไปสู่ Business Risk รวมทั้งการเสียชื่อเสียงและการไว้วางใจที่ติดตามมาอย่างมากมาย โดยมีข้อความที่น่าสนใจดังต่อไปนี้

ในขณะที่บ้านเรามีปัญหาการทุจริตในธนาคารอาคารสงเคราะห์ ซึ่งจากการวิเคราะห์ของผม น่าจะมีสาเหตุจากการที่พนักงานอาศัยช่องโหว่ในระบบไอที และอาจจะมีปัญหาการหย่อนยานหรือไม่เข้มงวดในการแบ่งแยกหน้าที่ ( Segregration of duty ) เลยทำให้การทุจริตไม่ถูกตรวจพบ และกว่าจะรู้ตัวก็เกิดความเสียหายถึง 500 ล้านบาท ส่งผลกระทบต่อผู้บริหาร และสร้างปัญหาความเชื่อมั่นของสาธารณชนเป็นอย่างมาก

ในประเทศสหรัฐอเมริกาก็กำลังมีปัญหาใหญ่ในเรื่องของ Healthcare IT Security ซึ่งกำลังส่งผลกระทบต่อผู้บริหารของมลรัฐ Virginia เป็นอย่างมาก รวมถึงส่งผลต่อฝ่ายบริหารของประธานาธิบดีโอบามา ที่กำลังต้องการผลักดัน Eletronic Medical Record ให้เป็นวาระแห่งชาติ เมื่อปรากฏว่ามีมือดีเข้าไปแฮกระบบคอมพิวเตอร์ของมลรัฐ Virginia จัดการเข้ารหัส Backup Files แล้วทำการลบข้อมูลการสั่งจ่ายยาของประชาชนรวม 8.5 ล้านคน รวมทั้งสิ้นประมาณ 35 ล้านรายการ

จากนั้นก็ทิ้งข้อความเรียกค่าไถ่ 10 ล้านเหรียญ โดยขู่ว่าถ้าไม่ได้รับเงินจำนวนดังกล่าวภายใน 7 วัน จะนำรายชื่อดังกล่าวไปประมูลขายในตลาดมืด เหตุการณ์นี้เกิดขึ้นเมื่อวันที่ 30 เมษายน 2552 นี้เอง ทำให้เว็ปไซด์ของมลรัฐ Virginia (www.dhp.virginia.gov ) ต้องปิดตัวลงชั่วคราว และจนวันนี้ ( 9 พ.ค. 2552 ) ก็ยังไม่สามารถกู้ข้อมูลคืนมาได้ แม้ว่าจะเลยกำหนดเส้นตายที่แฮกเกอร์ขู่ไว้แล้ว

ประเด็นการวิเคราะห์ในกรณีนี้ก็คือ
1. แฮกเกอร์สามารถลบหรือทำการเข้ารหัสข้อมูลที่ทำสำเนาไว้ได้อย่างไร ( Backup Files รวมทั้ง Off Site Backup ) รายการนี้น่าจะเป็นฝีมือคนใน หรือเจ้าหน้าที่ภายในมีส่วนรู้เห็นเป็นใจ

2. กรณีนี้ถือเป็นภัยคุกคามรูปแบบใหม่ที่รุนแรงกว่า Cyber Crime น่าจะเรียกว่าเป็น Cyber Terrorism ก็ได้ เพราะเป็นการเรียกค่าไถ่ โดยเอาข้อมูลส่วนตัวของประชาชนจำนวน 8 ล้านคนเป็นตัวประกัน นับเป็นกรณีศึกษาและอาชญากรรมที่รุนแรงที่สุดในประวัติศาสตร์ของประเทศอเมริกาเลยทีเดียว

3. ผลกระทบต่อประชาชนที่ข้อมูลถูกแฮกไปที่น่าเป็นห่วงก็คือ Identiy Theft เพราะอาจจะมีการเอาข้อมูลส่วนตัวเหล่านี้ไปแอบอ้างต่อสถาบันการเงินเพื่อขอสินเชื่อ ซึ่งก็มีข้อแนะนำว่าประชาชนเหล่านี้ต้องหมั่นตรวจสอบข้อมูลเครดิตของตนเองกับ เครดิตบูโร อย่างถี่ถ้วน ไปอย่างน้อยอีก 2 ปี นอกจากนี้อาจจะมีคนร้ายเอาข้อมูลการใช้ยาเหล่านี้ไปสวมรอยใช้สิทธิเพื่อซื้อยา ( ยาประเภทเสพติดควบคุม ) แล้วไปขายต่อในตลาดมืด ทำให้เจ้าของข้อมูลตัวจริงไม่สามารถที่จะซื้อยาได้

4. ทางราชการโดยมลรัฐ Virginia จะรับมือกับการเรียกร้องค่าเสียหายจากประชาชนที่ได้รับความเดือดร้อนในครั้งนี้อย่างไร และใครจะเป็นแพะที่ต้องถูกบูชายัญจากเหตุการณ์ครั้งนี้

5. ถึงแม้ว่าจะมีข้อมูลที่ทำสำเนาไว้ และสามารถกู้ข้อมูลคืนมาได้ทั้งหมด แต่ข้อเท็จจริงก็คือข้อมูลเหล่านี้ได้ถูก Compromised ไปเรียบร้อยแล้ว และผู้ที่ฉกไปก็มีโอกาสที่จะนำเอาไปหาประโยชน์ในตลาดมืดได้ ดังนั้นทางการรัฐเวอร์จิเนีย ย่อมไม่สามารถปฏิเสธความรับผิดชอบได้อยู่ดี

6. กรณีดังกล่าวถือเป็นบทเรียนครั้งสำคัญที่จะส่งผลอย่างมาก สะท้อนให้เห็นถึงความจำเป็นที่ต้องมีการสังคายนาระบบความมั่นคงปลอดภัยของสารสนเทศทางการแพทย์ของประเทศสหรัฐอเมริกา อย่างขนานใหญ่

7. คำถามสำหรับผู้บริหารในประเทศไทยก็คือ ถ้าเกิดมีโรงพยาบาลขนาดใหญ่ถูกฉกข้อมูลและเรียกค่าไถ่แบบนี้บ้าง ท่านผู้บริหารจะทำอย่างไร ถ้าเป็นโรงพยาบาลเอกชนก็คงหนีไม่พ้นที่จะต้องยอมจ่ายค่าไถ่ และถ้าข่าวแพร่ออกไปก็คงจะถึงขั้นปิดกิจการไปเลยทีเดียว ในกรณีของรัฐ Virginia นี้เป็นระบบฐานข้อมูลที่ติดตามการสั่งยา ประเภทที่อาจจะเสพติดหรือต้องควบคุม ซึ่งการที่ระบบต้องปิดตัวลง ยังไม่กระทบต่อการให้บริการต่อสาธารณชนแต่อย่างใด

แต่ก็เป็นที่น่าสังเกตุว่าในหน่วยงานของรัฐบาลอเมริกาที่มีมาตรฐานค่อนข้างจะสูง ยังไม่สามารถกู้ข้อมูลคืนได้แม้เวลาจะล่วงเลยมา 10 วันแล้ว น่ากลัวมากนะครับ แต่ถ้าเป็นกรณีของโรงพยาบาลแล้ว ระบบไอทีต้องหยุดให้บริการแค่วันเดียวก็โกลาหลกันไปทั้งโรงพยาบาลแล้ว ไม่ว่าจะเป็นแพทย์ พยาบาลหรือเจ้าหน้าที่ รวมทั้งคนไข้ผู้รับบริการ

Business Model for Information Security and Audit Committee/Auditors

Business Model for Information Security and Audit Committee/Auditors

ท่านผู้อ่านที่สนใจในเรื่องราวที่นายแพทย์สุธี เล่าสู่กันฟังข้างต้น ท่านคิดอย่างไรครับในแง่มุมของคณะกรรมการ และผู้บริหาร ผู้ตรวจสอบภายใน และผู้กำกับหน่วยงานภาครัฐ เกณฑ์การประเมินการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยง รวมทั้งการบริหารจัดการสารสนเทศ และบทบาทของคณะกรรมการ รวมทั้งการพัฒนาบุคลากร ควรมีการปรับปรุงและเปลี่ยนแปลงอย่างไรบ้างครับ จากแผนภาพข้างต้น

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง, IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การป้องกันการทุจริตในจุดอ่อนระบบงานกับนโยบายขององค์กร เพื่อสร้างดุลยภาพการบริหารความเสี่ยง (ต่อ)

พ.ค. 15, 2009

จนถึงปัจจุบัน ผู้กำกับหน่วยงานของ ธอส. ที่เกี่ยวข้องกับการทุจริตและเกิดผลเสียหายประมาณ 400 ล้านบาท ยังเป็นที่สนใจของบุคคลที่เกี่ยวข้องว่า หน่วยงานของรัฐแห่งนี้มีการบริหารงานที่ดี โดยเฉพาะอย่างยิ่งการบริหารความเสี่ยง อันเป็นที่ยอมรับได้ระดับหนึ่งนั้น เกิดการทุจริตเช่นนี้ขึ้นได้อย่างไร เหตุใดผู้ทุจริตจึงสามารถกระทำการทุจริตได้โดยใช้เวลาอันยาวนาน และผู้บริหาร ผู้ตรวจสอบ รวมทั้งผู้ที่เกี่ยวข้องกับการบริหารความเสี่ยงไม่สามารถ Mornitor หรือติดตามความเสี่ยงที่เกิดจาก Operation Risk ที่เกี่ยวข้องกับ People, Process และ Technology รวมทั้ง Compliance Risk ที่เกี่ยวข้องกับการปฏิบัติตามระเบียบและกฎเกณฑ์ของหน่วยงานและผู้กำกับที่เกี่ยวข้อง

Value Creation for Effectiveness & Efficiency of Operations

Value Creation for Effectiveness & Efficiency of Operations

สำหรับส่วนตัวของผม ผมยังมีความเข้าใจและมั่นใจว่า ธอส. ยังมีกระบวนการบริหารและการจัดการที่ดีอยู่ เพียงยังอาจปรับปรุงกระบวนการบริหารความเสี่ยงบางมุมมอง โดยเฉพาะอย่างยิ่ง ความเสี่ยงที่เกี่ยวข้องกับกระบวนการทบทวนการบริหาร การควบคุมความเสี่ยงของระบบงานที่เกี่ยวข้องกับ Business Process ไปสู่ Business Objective ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ที่รวมทั้งเรื่อง ISO 27001 และ COBIT ตามหลักการของ IT Governance ที่มีผลเกี่ยวข้องกับ Corporate Governance ซึ่งเชื่อมโยงกับการบริหารความเสี่ยงตามหลักการของ COSO – ERM การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง

การประมวลผลรายการแสดงจุดที่จะเกิดข้อผิดพลาด รวมทั้งการทุจริต และการควบคุมเชิงรุก

การประมวลผลรายการแสดงจุดที่จะเกิดข้อผิดพลาด รวมทั้งการทุจริต และการควบคุมเชิงรุก

วันนี้ ผมจึงขอออกความเห็นเบื้องต้นที่ยังขาดข้อมูลและข้อเท็จจริงของเหตุการณ์ที่เกิดขึ้นอยู่มาก แต่จะขออธิบายภาพโดยรวม ถึงสิ่งที่หน่วยงานที่เกี่ยวข้องอาจใช้ประสบการณ์เกี่ยวกับกระบวนการบริหารความเสี่ยง การควบคุมความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ การวิเคราะห์ Business Process การวิเคราะห์ Business Model บางประการ ดังนี้

กิจกรรมการปรับปรุงโปรแกรมการควบคุมและตัวอย่างข้อผิดพลาดและการทุจริตที่อาจเกิดขึ้น

กิจกรรมการปรับปรุงโปรแกรมการควบคุมและตัวอย่างข้อผิดพลาดและการทุจริตที่อาจเกิดขึ้น

ผมขอให้ข้อสังเกตผ่านแผนภาพเป็นสำคัญ แทนการใช้คำอธิบายที่อาจจะน่าเบื่อสำหรับบางท่าน ขอให้ท่านที่สนใจอ่านและทบทวนกระบวนการดำเนินการตามภาพข้างต้น แล้วซักถามผู้ที่เกี่ยวข้องอย่างเป็นระบบและเป็นกระบวนการตามขั้นตอนที่เหมาะสมให้เป็นไปตามแนวทางของ COSO – ERM คำตอบที่ได้รับในประเด็นที่น่าสนใจนำกลับมาตั้งคำถามใหม่ เพื่อให้คำตอบตรงกับเป้าประสงค์ของผู้ถาม ซึ่งต้องมีความรอบรู้และมีประสบการณ์บริหารอย่างเป็นกระบวนการที่แท้จริง ทั้งทางด้าน IT และ Non – IT

ครั้งต่อไป ผมจะพยายามสร้าง Scenario เพื่อซักถามเป็นตุ๊กตาต้นแบบ เพื่อก้าวเข้าไปหาหรือเพื่อการวิเคราะห์ต้นเหตุหรือสาเหตุ (Root Cause) ของจุดอ่อนของกระบวนการทำงาน (Business Process) รวมไปถึงเทคโนโลยี (Technology) ที่เกี่ยวข้องและแน่นอนว่า จะสัมพันธ์กับบุคลากร (People) ที่จะมีรายการสัมพันธ์กัน เชื่อมโยงกันในกระบวนการที่เป็นจุดอ่อนที่เกิดขึ้น รวมไปถึงการก้าวไปสู่ผู้ที่น่าจะเกี่ยวข้องกับเหตุการณ์ที่เกิดขึ้นได้

Functional Perspectives & Competency to drive IT Security + Successful Business

Functional Perspectives & Competency to drive IT Security + Successful Business

ก่อนจะจบการให้ข้อสังเกตในวันนี้ ผมใคร่ขอจะกล่าวสั้น ๆ เพียงว่า ศักยภาพของผู้ตรวจสอบ ผู้บริหารความเสี่ยงในระดับต่าง ๆ จำเป็นอย่างยิ่งที่จะต้องมีความเข้าใจถึงเรื่อง Risk Convergence ซึ่งส่วนใหญ่จะเกี่ยวข้องกับทางด้าน IT Governance และ IT Management เพื่อลดความเสี่ยงในการบริหารและการตรวจสอบ (Risk Management & Audit Risk) ที่เกี่ยวข้องกับ
– Poor Security & Reporting
– Poor Management Control ที่เกี่ยวข้องกับการบริหารองค์ประกอบของสารสนเทศที่ดี 7 ประการ ตามที่เคยกล่าวไปแล้ว รวมทั้งรายงานที่เกี่ยวข้อง
– Poor Financial Transparency โดยเฉพาะอย่างยิ่งในเรื่องที่เกี่ยวข้องกับ IT Investments รวมทั้งการกำกับและการบริหารที่ผิดทิศทาง ไม่เป็นไปตามหลักการของกระบวนการบริหารทางด้าน ITG – COBIT และ IT Security ที่ดี
– Fraud ซึ่งเป็นการทุจริตส่วนใหญ่ที่เกิดขึ้นภายในองค์กร โดยบุคลากรขององค์กรนั้นเองเป็นสำคัญ ที่ไม่เข้าใจ Business Process ในการก้าวไปสู่ Business Objective ที่เกี่ยวข้องกับ Internal Control ซึ่งสัมพันธ์กับ Risk Management และ Internal Audit – Risk – Based และ Audit Instinct หรือสัญชาตญาณในการตรวจสอบ หรือศัยกภาพในการตรวจสอบ ที่จะครอบคลุมและผสมผสานระหว่าง IT Audit และ Non – IT Audit โดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบทางด้าน Non – IT ที่อาจจะไม่สนใจผลกระทบหรือ Impact ของ IT Risk ต่อ Business Risk ซึ่งมีผลอย่างสำคัญถึงกระบวนการตรวจสอบและการวางแผนการตรวจสอบ ซึ่งมีเรื่องที่ต้องทำความเข้าใจกันค่อนข้างมาก

องค์ประกอบของสารสนเทศที่สำคัญในการบริหารและจัดการความเสี่ยง

องค์ประกอบของสารสนเทศที่สำคัญในการบริหารและจัดการความเสี่ยง

นี่เป็นเหตุผลสำคัญที่ผมยังไม่แยกภาคการตรวจสอบ IT Audit กับ Non – IT Audit อย่างชัดเจนในช่วงนี้ ทั้งนี้ผมต้องการที่จะให้ผู้บริหารที่เกี่ยวข้องต่อการกำกับและการตรวจสอบทั้ง 2 ด้าน เห็นความสัมพันธ์และความเชื่อมโยง รวมทั้งผลกระทบของ IT Risk ที่มีต่อกระบวนการตรวจสอบโดยรวม

ซึ่งผมจะได้กล่าวในรายละเอียดในช่วงต่อ ๆ ไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การป้องกันการทุจริตในจุดอ่อนระบบงานกับนโยบายขององค์กร เพื่อสร้างดุลยภาพการบริหารความเสี่ยง (ต่อ)

พ.ค. 15, 2009

จนถึงปัจจุบัน ผู้กำกับหน่วยงานของ ธอส. ที่เกี่ยวข้องกับการทุจริตและเกิดผลเสียหายประมาณ 400 ล้านบาท ยังเป็นที่สนใจของบุคคลที่เกี่ยวข้องว่า หน่วยงานของรัฐแห่งนี้มีการบริหารงานที่ดี โดยเฉพาะอย่างยิ่งการบริหารความเสี่ยง อันเป็นที่ยอมรับได้ระดับหนึ่งนั้น เกิดการทุจริตเช่นนี้ขึ้นได้อย่างไร เหตุใดผู้ทุจริตจึงสามารถกระทำการทุจริตได้โดยใช้เวลาอันยาวนาน และผู้บริหาร ผู้ตรวจสอบ รวมทั้งผู้ที่เกี่ยวข้องกับการบริหารความเสี่ยงไม่สามารถ Mornitor หรือติดตามความเสี่ยงที่เกิดจาก Operation Risk ที่เกี่ยวข้องกับ People, Process และ Technology รวมทั้ง Compliance Risk ที่เกี่ยวข้องกับการปฏิบัติตามระเบียบและกฎเกณฑ์ของหน่วยงานและผู้กำกับที่เกี่ยวข้อง

Value Creation for Effectiveness & Efficiency of Operations

Value Creation for Effectiveness & Efficiency of Operations

สำหรับส่วนตัวของผม ผมยังมีความเข้าใจและมั่นใจว่า ธอส. ยังมีกระบวนการบริหารและการจัดการที่ดีอยู่ เพียงยังอาจปรับปรุงกระบวนการบริหารความเสี่ยงบางมุมมอง โดยเฉพาะอย่างยิ่ง ความเสี่ยงที่เกี่ยวข้องกับกระบวนการทบทวนการบริหาร การควบคุมความเสี่ยงของระบบงานที่เกี่ยวข้องกับ Business Process ไปสู่ Business Objective ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ที่รวมทั้งเรื่อง ISO 27001 และ COBIT ตามหลักการของ IT Governance ที่มีผลเกี่ยวข้องกับ Corporate Governance ซึ่งเชื่อมโยงกับการบริหารความเสี่ยงตามหลักการของ COSO – ERM การควบคุมภายในและการตรวจสอบภายในตามฐานความเสี่ยง

การประมวลผลรายการแสดงจุดที่จะเกิดข้อผิดพลาด รวมทั้งการทุจริต และการควบคุมเชิงรุก

การประมวลผลรายการแสดงจุดที่จะเกิดข้อผิดพลาด รวมทั้งการทุจริต และการควบคุมเชิงรุก

วันนี้ ผมจึงขอออกความเห็นเบื้องต้นที่ยังขาดข้อมูลและข้อเท็จจริงของเหตุการณ์ที่เกิดขึ้นอยู่มาก แต่จะขออธิบายภาพโดยรวม ถึงสิ่งที่หน่วยงานที่เกี่ยวข้องอาจใช้ประสบการณ์เกี่ยวกับกระบวนการบริหารความเสี่ยง การควบคุมความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ การวิเคราะห์ Business Process การวิเคราะห์ Business Model บางประการ ดังนี้

กิจกรรมการปรับปรุงโปรแกรมการควบคุมและตัวอย่างข้อผิดพลาดและการทุจริตที่อาจเกิดขึ้น

กิจกรรมการปรับปรุงโปรแกรมการควบคุมและตัวอย่างข้อผิดพลาดและการทุจริตที่อาจเกิดขึ้น

ผมขอให้ข้อสังเกตผ่านแผนภาพเป็นสำคัญ แทนการใช้คำอธิบายที่อาจจะน่าเบื่อสำหรับบางท่าน ขอให้ท่านที่สนใจอ่านและทบทวนกระบวนการดำเนินการตามภาพข้างต้น แล้วซักถามผู้ที่เกี่ยวข้องอย่างเป็นระบบและเป็นกระบวนการตามขั้นตอนที่เหมาะสมให้เป็นไปตามแนวทางของ COSO – ERM คำตอบที่ได้รับในประเด็นที่น่าสนใจนำกลับมาตั้งคำถามใหม่ เพื่อให้คำตอบตรงกับเป้าประสงค์ของผู้ถาม ซึ่งต้องมีความรอบรู้และมีประสบการณ์บริหารอย่างเป็นกระบวนการที่แท้จริง ทั้งทางด้าน IT และ Non – IT

ครั้งต่อไป ผมจะพยายามสร้าง Scenario เพื่อซักถามเป็นตุ๊กตาต้นแบบ เพื่อก้าวเข้าไปหาหรือเพื่อการวิเคราะห์ต้นเหตุหรือสาเหตุ (Root Cause) ของจุดอ่อนของกระบวนการทำงาน (Business Process) รวมไปถึงเทคโนโลยี (Technology) ที่เกี่ยวข้องและแน่นอนว่า จะสัมพันธ์กับบุคลากร (People) ที่จะมีรายการสัมพันธ์กัน เชื่อมโยงกันในกระบวนการที่เป็นจุดอ่อนที่เกิดขึ้น รวมไปถึงการก้าวไปสู่ผู้ที่น่าจะเกี่ยวข้องกับเหตุการณ์ที่เกิดขึ้นได้

Functional Perspectives & Competency to drive IT Security + Successful Business

Functional Perspectives & Competency to drive IT Security + Successful Business

ก่อนจะจบการให้ข้อสังเกตในวันนี้ ผมใคร่ขอจะกล่าวสั้น ๆ เพียงว่า ศักยภาพของผู้ตรวจสอบ ผู้บริหารความเสี่ยงในระดับต่าง ๆ จำเป็นอย่างยิ่งที่จะต้องมีความเข้าใจถึงเรื่อง Risk Convergence ซึ่งส่วนใหญ่จะเกี่ยวข้องกับทางด้าน IT Governance และ IT Management เพื่อลดความเสี่ยงในการบริหารและการตรวจสอบ (Risk Management & Audit Risk) ที่เกี่ยวข้องกับ
– Poor Security & Reporting
– Poor Management Control ที่เกี่ยวข้องกับการบริหารองค์ประกอบของสารสนเทศที่ดี 7 ประการ ตามที่เคยกล่าวไปแล้ว รวมทั้งรายงานที่เกี่ยวข้อง
– Poor Financial Transparency โดยเฉพาะอย่างยิ่งในเรื่องที่เกี่ยวข้องกับ IT Investments รวมทั้งการกำกับและการบริหารที่ผิดทิศทาง ไม่เป็นไปตามหลักการของกระบวนการบริหารทางด้าน ITG – COBIT และ IT Security ที่ดี
– Fraud ซึ่งเป็นการทุจริตส่วนใหญ่ที่เกิดขึ้นภายในองค์กร โดยบุคลากรขององค์กรนั้นเองเป็นสำคัญ ที่ไม่เข้าใจ Business Process ในการก้าวไปสู่ Business Objective ที่เกี่ยวข้องกับ Internal Control ซึ่งสัมพันธ์กับ Risk Management และ Internal Audit – Risk – Based และ Audit Instinct หรือสัญชาตญาณในการตรวจสอบ หรือศัยกภาพในการตรวจสอบ ที่จะครอบคลุมและผสมผสานระหว่าง IT Audit และ Non – IT Audit โดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบทางด้าน Non – IT ที่อาจจะไม่สนใจผลกระทบหรือ Impact ของ IT Risk ต่อ Business Risk ซึ่งมีผลอย่างสำคัญถึงกระบวนการตรวจสอบและการวางแผนการตรวจสอบ ซึ่งมีเรื่องที่ต้องทำความเข้าใจกันค่อนข้างมาก

องค์ประกอบของสารสนเทศที่สำคัญในการบริหารและจัดการความเสี่ยง

องค์ประกอบของสารสนเทศที่สำคัญในการบริหารและจัดการความเสี่ยง

นี่เป็นเหตุผลสำคัญที่ผมยังไม่แยกภาคการตรวจสอบ IT Audit กับ Non – IT Audit อย่างชัดเจนในช่วงนี้ ทั้งนี้ผมต้องการที่จะให้ผู้บริหารที่เกี่ยวข้องต่อการกำกับและการตรวจสอบทั้ง 2 ด้าน เห็นความสัมพันธ์และความเชื่อมโยง รวมทั้งผลกระทบของ IT Risk ที่มีต่อกระบวนการตรวจสอบโดยรวม

ซึ่งผมจะได้กล่าวในรายละเอียดในช่วงต่อ ๆ ไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การป้องกันการทุจริตและจุดอ่อนในระบบงานกับนโยบายขององค์กร เพื่อสร้างดุลยภาพการบริหารความเสี่ยง

พ.ค. 12, 2009

จากกรณีการทุจริตของ ธอส. ที่เป็นข่าวครึกโครมตลอดสัปดาห์ที่ผ่านมา ได้รับความสนใจจากวงการบริหารและการตรวจสอบของสถาบันการเงิน และผู้ที่เกี่ยวข้องเป็นอย่างมาก ผมจึงขอร่วมออกความเห็นในบางมุมมองที่เห็นว่าน่าจะเป็นประโยชน์ต่อการบริหารความเสี่ยง การควบคุม และการตรวจสอบในเชิงรุกบางประการ ดังนี้

1. ควรมีการทบทวนการควบคุมสภาพแวดล้อมโดยทั่วไป ตามหลักการของ COSO ข้อ 1. บางประการที่เกี่ยวข้องกับโครงสร้างขององค์กร เช่น องค์กรของท่านมีการจัดโครงสร้างที่มีผู้บริหารคนเดียวที่ดูแลสายงาน IT สายงานบัญชี สายงานทางการเงินหรือไม่ ถ้าเป็นเช่นนี้ พิจารณาในเบื้องต้นได้ว่า องค์กรของท่านมีความเสี่ยงเป็นอย่างยิ่ง เพราะผู้บริหารอาจดำเนินการโยกย้ายข้อมูลทางการบัญชีและข้อมูลทางการเงิน รวมทั้งทรัพย์สิน หนี้สิน ตลอดจนรายการและงบการเงินให้เป็นไปตามที่พึงประสงค์ได้โดยง่าย เป็นช่องเปิดของจุดอ่อน (Exposure) ในกระบวนการทำงานระดับบนที่จะสร้างจุดอ่อนในกระบวนการทำงานระดับกลาง และระดับล่างลงไปอย่างสำคัญยิ่ง และแน่นอน เป็นการเปิดโอกาสให้เกิดการทุจริตตามมาได้ในที่สุด… และผมจะอธิบายในเรื่องนี้โดยละเอียดในโอกาสต่อไป

องค์ประกอบของสภาพแวดล้อมและการควบคุมภายใน

องค์ประกอบของสภาพแวดล้อมและการควบคุมภายใน

2. หากผู้บริหารและผู้ตรวจสอบประเมินตนเองในลักษณะ CSA ปรากฎโครงสร้างขององค์กรตามข้อ 1. ก็สามารถให้ข้อสังเกต รวมทั้งทดสอบจุดอ่อนของกระบวนการทำงานกับกระบวนการบริหาร กระบวนการควบคุมและการตรวจสอบภายในตามฐานความเสี่ยง ตาม Scenario หรือตามจินตนาการของเหตุการณ์ที่อาจจะเกิดขึ้นจากจุดอ่อนของกระบวนการบริหาร ซึ่งตามมาด้วยการทุจริตได้เป็นอย่างดี โดยเริ่มต้นจากข้อมูลและสารสนเทศที่ไม่ถูกต้อง เชื่อถือไม่ได้ มีการบิดเบือนข้อมูลอย่างตั้งใจ และไม่ตั้งใจ ตามระบบที่เปิดของจุดอ่อนทางเทคโนโลยีสารสนเทศ (Technology) ที่จะตามมาด้วยจุดอ่อนของกระบวนการทำงานในรูปแบบต่าง ๆ (Process) และเมื่อมีพนักงานผู้ไม่หวังดี (People) หรือมีผู้ต้องการทุจริตก็จะเป็นสาเหตุหลัก (Root Cause) ของความเสี่ยงที่ตามมาด้วยการทุจริตในรูปแบบต่าง ๆ ได้ในที่สุด

เพราะการทุจริตมีสาเหตุหลัก ๆ เพียง 3 ประการ คือ ก) ระบบงานมีจุดอ่อน ข) มีผู้ที่ต้องการทุจริต และ ค) มีโอกาสที่จะทุจริตได้ เมื่อครบองค์ประกอบทั้ง 3 ประการก็คงเหลือเพียงเวลาที่จะทุจริตเท่านั้น

ความซื่อสัตย์และจริยธรรมกับการบริหารความเสี่ยง

ความซื่อสัตย์และจริยธรรมกับการบริหารความเสี่ยง

3. ในอดีตสถาบันการเงินหลายแห่งมีประสบการณ์เกี่ยวกับการโอนเงินลอยผ่านระบบ Online หรือฝากเงินโดยไม่มีเงินสดจริง ไปเข้าบัญชีของตนเอง หรือบัญชีอื่น ๆ ที่เปิดเตรียมไว้เพื่อการทุจริตที่สาขาต่าง ๆ ของสถาบันการเงิน และเมื่อมีโอกาสก็คีย์เงินฝากลอย ๆ ผ่านระบบเทอร์มินอลไปเข้าบัญชีที่เปิดเตรียมไว้เพื่อการทุจริตนั้น ได้เงินไปตั้งแต่ 10 ล้าน ถึง 30 ล้านบาทภายในวันเดียว และไปถอนเงินสดตามสาขาที่โอนเงินฝากไปภายในวันเดียวกันนั้น ซึ่งเรื่องนี้มีตัวอย่างที่ผมเคยเขียนไว้ในหนังสือการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่ม 2 จาก 4 เล่ม ซึ่งหากมีโอกาสจะได้นำมาเล่าสู่กันฟังในรายละเอียดต่อไป

ความซื่อสัตย์ ความมีศักดิ์ศรี และจริยธรรมกับการบริหารความเสี่ยง

ความซื่อสัตย์ ความมีศักดิ์ศรี และจริยธรรมกับการบริหารความเสี่ยง

4. กรณีของธนาคาร ธอส. ซึ่งเป็นข่าวประเด็นร้อน เมื่อ 2 สัปดาห์ที่ผ่านมานี้ ก็เป็นเรื่องที่น่าสนใจที่ผมเข้าใจว่า น่าจะมีลักษณะของการทุจริตที่มีองค์ประกอบในหลักการไม่แตกต่างกันมากนัก แต่จะแตกต่างกันในลักษณะของการทุจริตที่ไม่ได้เกิดจากการคีย์เงินฝากลอย ๆ ตามที่กล่าวในข้อ 3. ดังที่เคยเกิดขึ้นในอดีตของหลายสถาบันการเงินมาแล้ว

กรณีของ ธอส. ตามที่เป็นข่าวน่าจะเกิดจากจุดอ่อนของระบบงานที่เกี่ยวข้องกับการจ่ายดอกเบี้ยผ่านบัญชี Suspense Account ของธนาคารที่ขาดดุลยภาพการควบคุมกระบวนการบริหารความเสี่ยงที่เหมาะสม ซึ่งหากวิเคราะห์ในรายละเอียดประกอบกับการตรวจสอบจริงในภาคปฏิบัติ ตั้งแต่การติดตามดูกระบวนการทำงาน ตั้งแต่ Conseptual Flow ดู Processing Flow ไปจนถึง Data Flow ประกอบกับการวิเคราะห์การควบคุม Activity Flow ร่วมไปกับการติดตามดูระเบียบ คำสั่ง การมอบหมายอำนาจและหน้าที่ในการปฏิบัติงานในแต่ละขั้นตอน ควบคู่กันไปกับระบบการควบคุมในแต่ละกิจกรรมอย่างละเอียด ทั้งการควบคุมทางด้าน Computer Control และ Manual Control และแบบผสมผสาน อีกทั้งควรจะต้องพิจารณาข้อยกเว้นของระบบการควบคุม ระบบการปฏิบัติ ตลอดจนถึงกระบวนการ Override หรือกระบวนการข้ามขั้นตอนการควบคุม เพื่อความสะดวกในการปฏิบัติงาน รวมทั้งสังเกตุการณ์การปฏิบัติงานจริงในการมอบหมายหน้าที่ระหว่างผู้ปฏิบัติงานกับผู้ควบคุม ซึ่งในแต่ละขั้นตอนดังกล่าวนี้ จะมีจุดอ่อนที่มีผลต่อการทุจริตได้ทั้งสิ้น

5. จุดอ่อนที่สำคัญยิ่งของสถาบันการเงินส่วนใหญ่ และองค์กรทั่ว ๆ ไป ก็คือ การขาดนโยบายที่ชัดเจน และเป็นรูปธรรมของคณะกรรมการและผู้บริหารที่เกี่ยวข้อง ในเรื่องกระบวนการควบคุมการจัดการกับความเสี่ยงของบัญชี Suspense Account และหรือบัญชี Sundry Account หรือบัญชีอื่น ๆ ที่สถาบันการเงินหรือองค์กรได้กำหนดไว้เป็นรหัสให้คอมพิวเตอร์เป็นผู้ดำเนินการ โดยขาดกระบวนการติดตาม ขาดกระบวนการบริหาร รวมทั้งการจัดทำรายงานความเคลื่อนไหวของบัญชีเหล่านี้ให้เป็นรูปธรรม สถาบันการเงินหลายแห่งมียอดเงินในบัญชีพัก หรือบัญชีในชื่ออื่นใดก็ตามเป็นยอดเงินที่สูงมาก หากใช้หลักการของการบริหารความเสี่ยงตามกรอบของ COSO – ERM ที่คณะกรรมการและผู้บริหารจะต้องกำหนดระดับความเสี่ยงที่ยอมรับได้ คือ การกำหนด Risk Appetite และ Risk Tolerance ไว้ให้ชัดเจน อย่างกรณีบัญชี Suspense Account สถาบันการเงินก็ควรกำหนดนโยบายที่ชัดเจน และเป็นรูปธรรมว่า บัญชี Suspense Account นี้จะบันทึกบัญชีประเภทใดบ้าง มีวงเงินรวมและวงเงินแต่ละประเภทของบัญชีที่โอนเข้าบัญชีนี้เป็นเงินเท่าใด จะต้องมีรายละเอียดอะไรประกอบบัญชีแต่ละประเภท แต่ละกลุ่มภายใต้หัวข้อบัญชี Suspense Account หรือบัญชี Sundry Account และใครเป็นผู้ดูแล ใครเป็นผู้รับผิดชอบ โดยกำหนดกระบวนการควบคุมที่ฝังไว้ในระบบงาน (Embed) ซึ่งกระทำโดยการใช้ Code ที่เหมาะสม

6. ตามที่ผมได้กล่าวในข้อ 5. ข้างต้น ยังมีรายละเอียดหลายประการ และตัวอย่างอีกมากที่เป็นจุดรั่วไหลของในหลายองค์กร โดยเฉพาะอย่างยิ่ง ผู้ที่มีความรู้ทางด้านเทคโนโลยีสารสนเทศ ที่ได้รับมอบหมายให้เป็นผู้ดูแลที่ขาดความเข้าใจอย่างเป็นกระบวนการในการบริหารความเสี่ยงต่าง ๆ โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กรที่มีจุดอ่อนในระดับบน ซึ่งจะก่อให้เกิดความเสี่ยงในระดับรอง ๆ ลงมาอย่างหลีกเลี่ยงไม่ได้

ท่านผู้บริหารครับ ท่านเคยสนใจไหมครับว่า การเปลี่ยนแปลงกฎเกณฑ์ และระเบียบ รวมทั้งคำสั่งต่าง ๆ ที่เกี่ยวข้องกับการควบคุม การให้บริการใหม่ ๆ ผลิตภัณฑ์ใหม่ ๆ กระบวนการทำงานใหม่ ๆ ที่ปกติแล้วจะประกอบด้วย IT และ Non – IT นั้น จำเป็นอย่างยิ่งที่ต้องผ่านคณะกรรมการบริหารความเสี่ยง เพื่อประเมินถึงผลกระทบจากเหตุการณ์ใหม่ ๆ ที่เกิดขึ้น เรื่องนี้มีผู้บริหารระดับสูงของบางองค์กรได้อาศัยช่องว่างของกระบวนการบริหารความเสี่ยง ควบคู่กันไปกับการมีอำนาจควบคุมระบบเทคโนโลยีสารสนเทศ ระบบบัญชี ระบบการเงิน ระบบสินเชื่อ โดยการยักย้ายบัญชีสินทรัพย์เข้าไปไว้ในบัญชีพัก หรือ Suspense Account โดยเตรียมคำอธิบายไว้ล่วงหน้าหากมีการสอบถามจากผู้ที่เกี่ยวข้องไว้อย่างรัดกุม และเมื่อไม่มีคำถามจากผู้บริหารระดับสูง ประกอบกับผู้ตรวจสอบภายในยังขาดทักษะในการตรวจสอบทางด้านเทคโนโลยีสารสนเทศ รวมทั้งขาด Mind Map และขาดสัญชาตญาณในการตรวจสอบ (Audit Instinct) ในภาพโดยรวมของการตรวจสอบกับจุดอ่อนในกระบวนการจัดการ และระบบงาน รวมทั้งระเบียบปฏิบัติต่าง ๆ ที่เกี่ยวข้อง ก็จะเกิดความเสียหายได้มากมายจากสินทรัพย์ หรือลูกหนี้ที่ล่องหนไปจากบัญชีขององค์กร โดยมีสาเหตุหลัก ๆ ที่เกิดจาก PPT ซึ่งก็คือ People Risk + Process Risk + Technology Risk ที่ผสมผสานกันไปกับจุดอ่อนของกระบวนการบริหาร Compliance Risk โดยเฉพาะอย่างยิ่งจากความเสี่ยงในระดับสูงสุดขององค์กรก็คือ สภาพแวดล้อมในการควบคุมขององค์กร ซึ่งอยู่ในระดับบนสุดของกระบวนการบริหารความเสี่ยง และจะขอกล่าวซ้ำอีกครั้งหนึ่ง ซึ่งสรุปสั้นได้ตามแผนภาพ ดังนี้

สภาวะแวดล้อมเพื่อการควบคุม

สภาวะแวดล้อมเพื่อการควบคุม

ประเด็นการตรวจสอบจุดอ่อนของระบบงานที่อาจจะก่อให้เกิดความเสียหาย รวมทั้งการทุจริตขึ้นได้นั้น ผู้ที่พบหรือสังเกตรายการทางบัญชีที่ผิดปกติ อันเป็นที่มาของการทุจริตตามข่าว… ทำไมจึงมีที่มาจากองค์กรอื่นที่ไม่ได้เป็นต้นตอของการทุจริต ทำไมองค์กรของเราผู้ได้รับความเสียหายจากการทุจริต ไม่ทราบปัญหาการทุจริตที่เกิดขึ้นแล้ว และที่กำลังจะเกิดขึ้นต่อไป? การบริหารความเสี่ยงเป็นการบริหารเชิงรุก เป็นการป้องกันปัญหาก่อนที่จะเกิดความเสียหาย องค์กรของเราโดยคณะกรรมการมีการกำหนด Risk Appetite ที่เกิดจากการทุจริต รวมทั้ง Risk Appetite ที่มีผลกระทบถึงชื่อเสียง และความไว้วางใจขององค์กรของเราจาก Stakeholders ไว้อย่างไร มีการติดตามการบริหารความเสี่ยง การควบคุมความเสี่ยง การตรวจสอบตามฐานความเสี่ยงในเรื่องนี้ รวมทั้งการรายงานครั้งสุดท้ายเมื่อใด

ภาพโดยรวมของการตรวจสอบการทุจริต

ภาพโดยรวมของการตรวจสอบการทุจริต

สำหรับจุดอ่อนของระบบงานและกระบวนการทำงาน (Process Risk) รวมทั้ง System Risk ที่เกี่ยวข้องกับระบบบัญชีพัก หรือ Suspense Account ที่สัมพันธ์กับจุดอ่อนของวิธีการปฏิบัติ และจุดอ่อนของดุลยภาพการควบคุมความเสี่ยงที่เป็นช่องทางของการทุจริตจะได้นำมาแลกเปลี่ยนความเห็นกันในครั้งต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การป้องกันการทุจริตและจุดอ่อนในระบบงานกับนโยบายขององค์กร เพื่อสร้างดุลยภาพการบริหารความเสี่ยง

พ.ค. 12, 2009

จากกรณีการทุจริตของ ธอส. ที่เป็นข่าวครึกโครมตลอดสัปดาห์ที่ผ่านมา ได้รับความสนใจจากวงการบริหารและการตรวจสอบของสถาบันการเงิน และผู้ที่เกี่ยวข้องเป็นอย่างมาก ผมจึงขอร่วมออกความเห็นในบางมุมมองที่เห็นว่าน่าจะเป็นประโยชน์ต่อการบริหารความเสี่ยง การควบคุม และการตรวจสอบในเชิงรุกบางประการ ดังนี้

1. ควรมีการทบทวนการควบคุมสภาพแวดล้อมโดยทั่วไป ตามหลักการของ COSO ข้อ 1. บางประการที่เกี่ยวข้องกับโครงสร้างขององค์กร เช่น องค์กรของท่านมีการจัดโครงสร้างที่มีผู้บริหารคนเดียวที่ดูแลสายงาน IT สายงานบัญชี สายงานทางการเงินหรือไม่ ถ้าเป็นเช่นนี้ พิจารณาในเบื้องต้นได้ว่า องค์กรของท่านมีความเสี่ยงเป็นอย่างยิ่ง เพราะผู้บริหารอาจดำเนินการโยกย้ายข้อมูลทางการบัญชีและข้อมูลทางการเงิน รวมทั้งทรัพย์สิน หนี้สิน ตลอดจนรายการและงบการเงินให้เป็นไปตามที่พึงประสงค์ได้โดยง่าย เป็นช่องเปิดของจุดอ่อน (Exposure) ในกระบวนการทำงานระดับบนที่จะสร้างจุดอ่อนในกระบวนการทำงานระดับกลาง และระดับล่างลงไปอย่างสำคัญยิ่ง และแน่นอน เป็นการเปิดโอกาสให้เกิดการทุจริตตามมาได้ในที่สุด… และผมจะอธิบายในเรื่องนี้โดยละเอียดในโอกาสต่อไป

องค์ประกอบของสภาพแวดล้อมและการควบคุมภายใน

องค์ประกอบของสภาพแวดล้อมและการควบคุมภายใน

2. หากผู้บริหารและผู้ตรวจสอบประเมินตนเองในลักษณะ CSA ปรากฎโครงสร้างขององค์กรตามข้อ 1. ก็สามารถให้ข้อสังเกต รวมทั้งทดสอบจุดอ่อนของกระบวนการทำงานกับกระบวนการบริหาร กระบวนการควบคุมและการตรวจสอบภายในตามฐานความเสี่ยง ตาม Scenario หรือตามจินตนาการของเหตุการณ์ที่อาจจะเกิดขึ้นจากจุดอ่อนของกระบวนการบริหาร ซึ่งตามมาด้วยการทุจริตได้เป็นอย่างดี โดยเริ่มต้นจากข้อมูลและสารสนเทศที่ไม่ถูกต้อง เชื่อถือไม่ได้ มีการบิดเบือนข้อมูลอย่างตั้งใจ และไม่ตั้งใจ ตามระบบที่เปิดของจุดอ่อนทางเทคโนโลยีสารสนเทศ (Technology) ที่จะตามมาด้วยจุดอ่อนของกระบวนการทำงานในรูปแบบต่าง ๆ (Process) และเมื่อมีพนักงานผู้ไม่หวังดี (People) หรือมีผู้ต้องการทุจริตก็จะเป็นสาเหตุหลัก (Root Cause) ของความเสี่ยงที่ตามมาด้วยการทุจริตในรูปแบบต่าง ๆ ได้ในที่สุด

เพราะการทุจริตมีสาเหตุหลัก ๆ เพียง 3 ประการ คือ ก) ระบบงานมีจุดอ่อน ข) มีผู้ที่ต้องการทุจริต และ ค) มีโอกาสที่จะทุจริตได้ เมื่อครบองค์ประกอบทั้ง 3 ประการก็คงเหลือเพียงเวลาที่จะทุจริตเท่านั้น

ความซื่อสัตย์และจริยธรรมกับการบริหารความเสี่ยง

ความซื่อสัตย์และจริยธรรมกับการบริหารความเสี่ยง

3. ในอดีตสถาบันการเงินหลายแห่งมีประสบการณ์เกี่ยวกับการโอนเงินลอยผ่านระบบ Online หรือฝากเงินโดยไม่มีเงินสดจริง ไปเข้าบัญชีของตนเอง หรือบัญชีอื่น ๆ ที่เปิดเตรียมไว้เพื่อการทุจริตที่สาขาต่าง ๆ ของสถาบันการเงิน และเมื่อมีโอกาสก็คีย์เงินฝากลอย ๆ ผ่านระบบเทอร์มินอลไปเข้าบัญชีที่เปิดเตรียมไว้เพื่อการทุจริตนั้น ได้เงินไปตั้งแต่ 10 ล้าน ถึง 30 ล้านบาทภายในวันเดียว และไปถอนเงินสดตามสาขาที่โอนเงินฝากไปภายในวันเดียวกันนั้น ซึ่งเรื่องนี้มีตัวอย่างที่ผมเคยเขียนไว้ในหนังสือการตรวจสอบสถาบันการเงินด้านคอมพิวเตอร์ เล่ม 2 จาก 4 เล่ม ซึ่งหากมีโอกาสจะได้นำมาเล่าสู่กันฟังในรายละเอียดต่อไป

ความซื่อสัตย์ ความมีศักดิ์ศรี และจริยธรรมกับการบริหารความเสี่ยง

ความซื่อสัตย์ ความมีศักดิ์ศรี และจริยธรรมกับการบริหารความเสี่ยง

4. กรณีของธนาคาร ธอส. ซึ่งเป็นข่าวประเด็นร้อน เมื่อ 2 สัปดาห์ที่ผ่านมานี้ ก็เป็นเรื่องที่น่าสนใจที่ผมเข้าใจว่า น่าจะมีลักษณะของการทุจริตที่มีองค์ประกอบในหลักการไม่แตกต่างกันมากนัก แต่จะแตกต่างกันในลักษณะของการทุจริตที่ไม่ได้เกิดจากการคีย์เงินฝากลอย ๆ ตามที่กล่าวในข้อ 3. ดังที่เคยเกิดขึ้นในอดีตของหลายสถาบันการเงินมาแล้ว

กรณีของ ธอส. ตามที่เป็นข่าวน่าจะเกิดจากจุดอ่อนของระบบงานที่เกี่ยวข้องกับการจ่ายดอกเบี้ยผ่านบัญชี Suspense Account ของธนาคารที่ขาดดุลยภาพการควบคุมกระบวนการบริหารความเสี่ยงที่เหมาะสม ซึ่งหากวิเคราะห์ในรายละเอียดประกอบกับการตรวจสอบจริงในภาคปฏิบัติ ตั้งแต่การติดตามดูกระบวนการทำงาน ตั้งแต่ Conseptual Flow ดู Processing Flow ไปจนถึง Data Flow ประกอบกับการวิเคราะห์การควบคุม Activity Flow ร่วมไปกับการติดตามดูระเบียบ คำสั่ง การมอบหมายอำนาจและหน้าที่ในการปฏิบัติงานในแต่ละขั้นตอน ควบคู่กันไปกับระบบการควบคุมในแต่ละกิจกรรมอย่างละเอียด ทั้งการควบคุมทางด้าน Computer Control และ Manual Control และแบบผสมผสาน อีกทั้งควรจะต้องพิจารณาข้อยกเว้นของระบบการควบคุม ระบบการปฏิบัติ ตลอดจนถึงกระบวนการ Override หรือกระบวนการข้ามขั้นตอนการควบคุม เพื่อความสะดวกในการปฏิบัติงาน รวมทั้งสังเกตุการณ์การปฏิบัติงานจริงในการมอบหมายหน้าที่ระหว่างผู้ปฏิบัติงานกับผู้ควบคุม ซึ่งในแต่ละขั้นตอนดังกล่าวนี้ จะมีจุดอ่อนที่มีผลต่อการทุจริตได้ทั้งสิ้น

5. จุดอ่อนที่สำคัญยิ่งของสถาบันการเงินส่วนใหญ่ และองค์กรทั่ว ๆ ไป ก็คือ การขาดนโยบายที่ชัดเจน และเป็นรูปธรรมของคณะกรรมการและผู้บริหารที่เกี่ยวข้อง ในเรื่องกระบวนการควบคุมการจัดการกับความเสี่ยงของบัญชี Suspense Account และหรือบัญชี Sundry Account หรือบัญชีอื่น ๆ ที่สถาบันการเงินหรือองค์กรได้กำหนดไว้เป็นรหัสให้คอมพิวเตอร์เป็นผู้ดำเนินการ โดยขาดกระบวนการติดตาม ขาดกระบวนการบริหาร รวมทั้งการจัดทำรายงานความเคลื่อนไหวของบัญชีเหล่านี้ให้เป็นรูปธรรม สถาบันการเงินหลายแห่งมียอดเงินในบัญชีพัก หรือบัญชีในชื่ออื่นใดก็ตามเป็นยอดเงินที่สูงมาก หากใช้หลักการของการบริหารความเสี่ยงตามกรอบของ COSO – ERM ที่คณะกรรมการและผู้บริหารจะต้องกำหนดระดับความเสี่ยงที่ยอมรับได้ คือ การกำหนด Risk Appetite และ Risk Tolerance ไว้ให้ชัดเจน อย่างกรณีบัญชี Suspense Account สถาบันการเงินก็ควรกำหนดนโยบายที่ชัดเจน และเป็นรูปธรรมว่า บัญชี Suspense Account นี้จะบันทึกบัญชีประเภทใดบ้าง มีวงเงินรวมและวงเงินแต่ละประเภทของบัญชีที่โอนเข้าบัญชีนี้เป็นเงินเท่าใด จะต้องมีรายละเอียดอะไรประกอบบัญชีแต่ละประเภท แต่ละกลุ่มภายใต้หัวข้อบัญชี Suspense Account หรือบัญชี Sundry Account และใครเป็นผู้ดูแล ใครเป็นผู้รับผิดชอบ โดยกำหนดกระบวนการควบคุมที่ฝังไว้ในระบบงาน (Embed) ซึ่งกระทำโดยการใช้ Code ที่เหมาะสม

6. ตามที่ผมได้กล่าวในข้อ 5. ข้างต้น ยังมีรายละเอียดหลายประการ และตัวอย่างอีกมากที่เป็นจุดรั่วไหลของในหลายองค์กร โดยเฉพาะอย่างยิ่ง ผู้ที่มีความรู้ทางด้านเทคโนโลยีสารสนเทศ ที่ได้รับมอบหมายให้เป็นผู้ดูแลที่ขาดความเข้าใจอย่างเป็นกระบวนการในการบริหารความเสี่ยงต่าง ๆ โดยเฉพาะอย่างยิ่งโครงสร้างขององค์กรที่มีจุดอ่อนในระดับบน ซึ่งจะก่อให้เกิดความเสี่ยงในระดับรอง ๆ ลงมาอย่างหลีกเลี่ยงไม่ได้

ท่านผู้บริหารครับ ท่านเคยสนใจไหมครับว่า การเปลี่ยนแปลงกฎเกณฑ์ และระเบียบ รวมทั้งคำสั่งต่าง ๆ ที่เกี่ยวข้องกับการควบคุม การให้บริการใหม่ ๆ ผลิตภัณฑ์ใหม่ ๆ กระบวนการทำงานใหม่ ๆ ที่ปกติแล้วจะประกอบด้วย IT และ Non – IT นั้น จำเป็นอย่างยิ่งที่ต้องผ่านคณะกรรมการบริหารความเสี่ยง เพื่อประเมินถึงผลกระทบจากเหตุการณ์ใหม่ ๆ ที่เกิดขึ้น เรื่องนี้มีผู้บริหารระดับสูงของบางองค์กรได้อาศัยช่องว่างของกระบวนการบริหารความเสี่ยง ควบคู่กันไปกับการมีอำนาจควบคุมระบบเทคโนโลยีสารสนเทศ ระบบบัญชี ระบบการเงิน ระบบสินเชื่อ โดยการยักย้ายบัญชีสินทรัพย์เข้าไปไว้ในบัญชีพัก หรือ Suspense Account โดยเตรียมคำอธิบายไว้ล่วงหน้าหากมีการสอบถามจากผู้ที่เกี่ยวข้องไว้อย่างรัดกุม และเมื่อไม่มีคำถามจากผู้บริหารระดับสูง ประกอบกับผู้ตรวจสอบภายในยังขาดทักษะในการตรวจสอบทางด้านเทคโนโลยีสารสนเทศ รวมทั้งขาด Mind Map และขาดสัญชาตญาณในการตรวจสอบ (Audit Instinct) ในภาพโดยรวมของการตรวจสอบกับจุดอ่อนในกระบวนการจัดการ และระบบงาน รวมทั้งระเบียบปฏิบัติต่าง ๆ ที่เกี่ยวข้อง ก็จะเกิดความเสียหายได้มากมายจากสินทรัพย์ หรือลูกหนี้ที่ล่องหนไปจากบัญชีขององค์กร โดยมีสาเหตุหลัก ๆ ที่เกิดจาก PPT ซึ่งก็คือ People Risk + Process Risk + Technology Risk ที่ผสมผสานกันไปกับจุดอ่อนของกระบวนการบริหาร Compliance Risk โดยเฉพาะอย่างยิ่งจากความเสี่ยงในระดับสูงสุดขององค์กรก็คือ สภาพแวดล้อมในการควบคุมขององค์กร ซึ่งอยู่ในระดับบนสุดของกระบวนการบริหารความเสี่ยง และจะขอกล่าวซ้ำอีกครั้งหนึ่ง ซึ่งสรุปสั้นได้ตามแผนภาพ ดังนี้

สภาวะแวดล้อมเพื่อการควบคุม

สภาวะแวดล้อมเพื่อการควบคุม

ประเด็นการตรวจสอบจุดอ่อนของระบบงานที่อาจจะก่อให้เกิดความเสียหาย รวมทั้งการทุจริตขึ้นได้นั้น ผู้ที่พบหรือสังเกตรายการทางบัญชีที่ผิดปกติ อันเป็นที่มาของการทุจริตตามข่าว… ทำไมจึงมีที่มาจากองค์กรอื่นที่ไม่ได้เป็นต้นตอของการทุจริต ทำไมองค์กรของเราผู้ได้รับความเสียหายจากการทุจริต ไม่ทราบปัญหาการทุจริตที่เกิดขึ้นแล้ว และที่กำลังจะเกิดขึ้นต่อไป? การบริหารความเสี่ยงเป็นการบริหารเชิงรุก เป็นการป้องกันปัญหาก่อนที่จะเกิดความเสียหาย องค์กรของเราโดยคณะกรรมการมีการกำหนด Risk Appetite ที่เกิดจากการทุจริต รวมทั้ง Risk Appetite ที่มีผลกระทบถึงชื่อเสียง และความไว้วางใจขององค์กรของเราจาก Stakeholders ไว้อย่างไร มีการติดตามการบริหารความเสี่ยง การควบคุมความเสี่ยง การตรวจสอบตามฐานความเสี่ยงในเรื่องนี้ รวมทั้งการรายงานครั้งสุดท้ายเมื่อใด

ภาพโดยรวมของการตรวจสอบการทุจริต

ภาพโดยรวมของการตรวจสอบการทุจริต

สำหรับจุดอ่อนของระบบงานและกระบวนการทำงาน (Process Risk) รวมทั้ง System Risk ที่เกี่ยวข้องกับระบบบัญชีพัก หรือ Suspense Account ที่สัมพันธ์กับจุดอ่อนของวิธีการปฏิบัติ และจุดอ่อนของดุลยภาพการควบคุมความเสี่ยงที่เป็นช่องทางของการทุจริตจะได้นำมาแลกเปลี่ยนความเห็นกันในครั้งต่อไปนะครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บทเรียนการทุจริตครั้งสำคัญของธนาคาร Society Generale กับกรณีการทุจริตของ ธอส. และกระบวนการบริหาร รวมทั้ง Audit Risk

พ.ค. 9, 2009

ถึงแม้กรณีการทุจริตประมาณ 400 ล้านของ ธอส. ยังไม่คลี่คลาย เนื่องจากอยู่ระหว่างการรวบรวมข้อเท็จจริงของกระทรวงการคลัง และ ธนาคารแห่งประเทศไทย ผู้กำกับธนาคารของรัฐแห่งนี้ ผมจึงคิดว่า กรณีการทุจริตของธนาคาร Society Generale – SG กับการเปิดเผย รวมทั้งการให้ข้อสังเกตของหน่วยงานกำกับหลายแห่ง รวมถึง FSA ของประเทศอังกฤษในเรื่องนี้ ในเวลาต่อมานั้น น่าจะพิจารณาว่าเป็นประโยชน์อย่างยิ่งในวงการควบคุม กระบวนการบริหารความเสี่ยง และการตรวจสอบตามฐานความเสี่ยง รวมถึงการประเมินตนเองเพื่อการควบคุมและการบริหารความเสี่ยง ซึ่งเรียกย่อ ๆ ว่า CSA ในรูปแบบต่าง ๆ ที่ผมจะเผยแพร่ในโอกาสต่อ ๆ ไป

Fraud from Operational Risk & Poor Mgmt.

Fraud from Operational Risk & Poor Mgmt.

ข้อแนะนำของ FSA รวมทั้งข้อสังเกตที่มีประโยชน์อย่างยิ่งในทุกวงการ โดยเฉพาะสถาบันการเงินที่ไม่จำกัดอยู่เพียงความสูญเสียทางการค้าเงิน จากจุดอ่อนของกระบวนการบริหารและควบคุมภายในของ SG ยังได้รับความสนใจที่ค่อนข้างจำกัดอย่างน่าเสียดาย ผมจึงค่อนข้างจะเน้นและย้ำมากว่า หากองค์กรของท่านมุ่งมั่นที่จะบริหารความเสี่ยงอย่างเป็นเลิศ และเป็นกระบวนการที่ดีตามหลัก CG และ ITG รวมถึง GRC ซึ่งเป็น Statement ใหม่นั้น ขอให้ท่านผู้บริหารขององค์กรต่าง ๆ ได้โปรดสนใจที่จะประยุกต์ นำข้อสังเกตของ FSA มาใช้ในทางปฏิบัติให้ได้ผลอย่างจริงจัง

วันนี้ ผมจึงขอนำเสนอข้อสังเกตของ FSA ต่อ และจะตามมาด้วยการวิเคราะห์การบริหารความเสี่ยงของธนาคารของรัฐบางแห่งในโอกาสต่อไป

Off-market rates
9. สง. มีระบบควบคุมเพื่อดูแลการทำธุรกรรม Off market rates ของ Trader หรือไม่ และมีการนับแต้ม (Yellow flag) หรือติดตามผลของการกระทำดังกล่าวหรือไม่
9.1 การทำธุรกรรม Off market rate เป็นสิ่งที่สง.ควรให้ความสำคัญเนื่องจากเป็นช่องทางที่ Trader ใช้ในการตกแต่งกำไรขาดทุน และกลับกำไรขาดทุนเป็นทิศทางที่ตรงข้ามได้
9.2 สง. ควรมั่นใจว่ามีระบบการควบคุมเพื่อตรวจสอบธุรกรรมที่ทำ Off-market rate เพราะเป็นกลไกที่สำคัญมากในการป้องกันการทุจริตของ Trader

P&L attribution
10. สง. มั่นใจได้อย่างไรว่า มีความเข้าใจผลกำไรขาดทุนทั้งหมดของธนาคารว่ามาจากธุรกรรมใด รวมถึงกำไรขาดทุนที่เกิดจากธุรกรรมซับซ้อน
11. สง. เข้าใจหรือไม่ว่ากำไรขาดทุนจำนวนสูงที่เกิดขึ้นในวันแรกของการทำธุรกรรมมาจากไหนและสมเหตุสมผลหรือไม่
11.1 กำไรขาดทุนทำให้สง.เข้าใจความเสี่ยงในการทำธุรกรรมเพราะกำไรขาดทุนเป็นผลจากการรับความเสี่ยง ดังนั้นการทำความเข้าใจว่ากำไรขาดทุนมาจากส่วนใดเป็นสิ่งสำคัญสำหรับสง. โดยเฉพาะการทำธุรกรรมที่มีความซับซ้อนมากๆ
11.2 สง. ควรพิจารณา กำไรขาดทุนจำนวนสูงที่เกิดขึ้นในวันแรกของการทำธุรกรรม และ กำไรขาดทุนจำนวนสูง ที่เกิดจากการยกเลิกหรือแก้ไขธุรกรรมว่ามีเหตุผลเพียงพอควรทำการวิเคราะห์หาสาเหตุหรือไม่

Reconciliations
12. สง. มั่นใจได้อย่างไรว่ามีการวางระบบการกระทบยอดที่เหมาะสมและสามารถนำไปใช้งานได้อย่างมีประสิทธิภาพ
12.1 การกระทบยอดเป็นการควบคุมที่จำเป็นเพื่อให้มั่นใจได้ว่าฐานะด้าน ต่างๆ ถูกต้องตรงกันในทุกระบบของ สง. เช่น การกระทบยอดระหว่าง Front office , Back office และ Risk Management รวมถึงการยืนยันยอดกับ Custodians / Nostro account / ตลาดหลักทรัพย์ และ Broker สง. ควรมีการออกแบบกระบวนการในการสอบยันเพื่อป้องกันไม่ให้มีช่องว่างหรือจุดบกพร่องที่มีนัยสำคัญ และระบบที่ดีควรระบุถึงสาเหตุที่มีการกระทบยอดไม่ตรงกันว่ามาจากที่ใดเพื่อให้ทำการตรวจสอบและปรับปรุงแก้ไขให้ถูกต้อง
12.2 ควรกำหนดระยะเวลาที่ส่วนงานไม่สามารถหาสาเหตุของการกระทบยอดที่ไม่ตรงกันเป็นตัวชี้วัดผลการปฏิบัติงาน เพื่อส่งเสริมให้มีการควบคุมการกระทบยอดให้มีความถูกต้องรัดกุม

Confirmations
13. สง. มีการวางขั้นตอนระบบการยืนยันยอด (Confirmation) และระบบควบคุมเพื่อลดความเสี่ยงที่เกิดจากรายการที่ไม่มีการยืนยัน (Unconfirmed trade) อย่างไร
14. สง. มั่นใจได้อย่างไรว่าข้อมูลผู้บริหารมีรายละเอียดเพียงพอที่จะระบุถึงความเสี่ยงที่เกิดจาก Outstanding confirmation
14.1 การทำธุรกรรมระหว่าง สง. กับคู่ค้าควรมีการยืนยันเพื่อให้มั่นใจว่า Position ที่บันทึกในระบบของ สง. ถูกต้อง รวมถึงธุรกรรมระหว่างหน่วยงานภายในสง. ด้วย อย่างไรก็ดี สง.ควรมีระบบสืบค้น (Track) และวิเคราะห์รายการ Outstanding confirmation พร้อมทั้งกำหนดขั้นตอนการนำเสนอถึงผู้บริหารระดับสูงหากหน่วยงานที่เกี่ยวข้องไม่สามารถปฏิบัติได้ตาม Service level agreement
14.2 สง. ควรกำหนดให้มี Confirmation ระหว่าง Back office ของ สง. กับ Back office ของคู่ค้าโดยตรง (ไม่ควรผ่าน Front office)
14.3 หาก สง. อยู่ระหว่างขั้นตอนรอเอกสาร Confirmation ฉบับสมบูรณ์ อาจใช้ขั้นตอนการยืนยันเบื้องต้นด้วยวาจาซึ่งถือเป็นเครื่องมือที่มีประโยชน์เช่นกัน เช่นการยืนยันผ่านทางโทรศัพท์ระหว่างฝ่ายงานปฏิบัติการ
14.4 สง. ควรให้ความสนใจกับ Confirmation สำหรับธุรกรรม OTC ซึ่งที่มีลักษณะเฉพาะที่อาจจะก่อให้เกิดความเสี่ยงเพิ่มขึ้นกว่าธุรกรรมปกติ เช่น ธุรกรรมที่ไม่มีการกำหนดให้ส่งมอบหลักประกัน หรือเรียก Margin ระหว่างกันก่อนครบกำหนดสัญญา เป็นต้น

Margining collateralization and cash management
15. สง. มั่นใจได้อย่างไรว่าขั้นตอนการเรียกหรือวาง Margin นำมาใช้ปฏิบัติได้อย่างเหมาะสม และการเปลี่ยนแปลง Margin แต่ละครั้งมีการสอบยันกับฐานะที่เกี่ยวข้องในการบันทึกบัญชี
15.1 ธุรกรรมที่มียอดคงค้างจำนวนสูงจะมีการเรียกหรือวาง Margin หรือหลักประกันที่สูงขึ้นเช่นกัน ดังนั้น สง. ควรมีระบบการสอบยันการเรียกหรือวาง Margin หรือหลักประกันเพื่อให้มั่นใจได้ว่าการเรียกหรือวาง Margin และสัมพันธ์กับ Position ในบัญชี ถูกต้องตรงกัน
15.2 สง. ควรมีการวิเคราะห์ที่มาของ Gross และ Net cash-flow และเข้าใจว่ารายการดังกล่าวอยู่ในส่วนใดของข้อบังคับ ฐานะและ รายงานกำไรขาดทุน เช่น ถ้ามี Net cash- flow เกิดขึ้นต้องดูว่า Net cash-flow นั้นถูก Offset โดยรายการใด เช่น Unrealized gain/loss ที่เป็น Unmargined/Uncollaterized gain/loss จากรายการใด

Segregation of duties and IT security
16. สง. มั่นใจได้อย่างไรว่ามีระบบ Access control ที่เหมาะสม และมาตรการรักษาความปลอดภัยที่ดี
17. สง.มีการแยกอำนาจหน้าที่เพื่อไม่ให้ User ที่มีเจตนาทุจริตทำความเสียหายแก่ สง.หรือไม่
17.1 สง.ควรพิจารณาว่ามีการดำเนินการด้าน IT security และ Access control อย่างเหมาะสมหรือไม่ เพื่อให้ User สามารถเข้าระบบเฉพาะที่เกี่ยวข้องกับงานตนเอง เช่น การแบ่งหน้าที่ของผู้จัดทำและผู้สอบทาน (Maker-checker) หรือ สามารถเข้าระบบที่ทำธุรกรรมเฉพาะที่ตนได้รับมอบอำนาจเท่านั้น สง.ควรพิจารณาทบทวนสิทธิในการเข้าระบบงานของพนักงานเป็นระยะๆ นอกจากนี้ควรให้ความสนใจกับขั้นตอนที่อาจเกิดความเสี่ยงจากการโอนย้ายหน้าที่ของพนักงานใน 3 หน่วยงานคือ Front office, Middle office และ Back office
17.2 ประเด็นที่ควรระวังเบื้องต้นคือ การใช้ Password ร่วมกันในการเข้าระบบ การใช้ Password ที่ง่ายต่อการเดา การควบคุมที่ทำได้ง่ายคือการให้ User เปลี่ยน Password เป็นระยะๆ และการสั่งระบบให้ Lock การเข้าระบบหากมีการใส่ Password ผิดกี่ครั้ง นอกจากนี้ควรมีการตรวจสอบได้ว่ามีการเข้าระบบนั้นๆ โดยส่วนงานใด เช่น เครื่องคอมพิวเตอร์ของ Front office เข้าระบบงานของ Back office สง. ควรส่งเสริมวัฒนธรรมการเก็บรักษา Password ของตนเองโดยไม่ให้มีการใช้ Password ร่วมกัน

Good Corporate Governance & Internal Audit

Good Corporate Governance & Internal Audit

ผมใคร่ขอเรียนย้ำต่อคณะกรรมการและท่านผู้บริหารของทุกองค์กร โดยเฉพาะอย่างยิ่งสถาบันการเงินอีกครั้งว่า ท่านทราบหรือยังครับว่า องค์กรของท่านมีจุดอ่อนในกระบวนการบริหาร การควบคุมความเสี่ยง และการตรวจสอบตามฐานความเสี่ยงที่ยังไม่ทำ Gap Analysis เพื่อการบริหารการจัดการที่ดี ตามหลัก COSO – ERM ระหว่างข้อสังเกตของ FSA ข้างต้น ในส่วนที่ประยุกต์ได้กับแนวทางการบริหารการจัดการขององค์กรของท่านที่เป็นอยู่ในปัจจุบัน หรือ ท่านแน่ใจอย่างสมเหตุสมผลอย่างไรว่า องค์กรของท่านมีกระบวนการควบคุมความเสี่ยงต่าง ๆ ตามนัยของข้อสังเกต FSA ซึ่งอยู่ในระดับที่ยอมรับได้แล้ว คือมีการกำหนด Risk Appetite และ Risk Tolerance โดยผ่านคณะกรรมการเรียบร้อยแล้ว และมีการปฏิบัติ และรายงานอย่างสม่ำเสมออยู่จริง

1 ความเห็น | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

บทเรียนการทุจริตครั้งสำคัญของธนาคาร Society Generale กับกรณีการทุจริตของ ธอส. และกระบวนการบริหาร รวมทั้ง Audit Risk

พ.ค. 9, 2009

ถึงแม้กรณีการทุจริตประมาณ 400 ล้านของ ธอส. ยังไม่คลี่คลาย เนื่องจากอยู่ระหว่างการรวบรวมข้อเท็จจริงของกระทรวงการคลัง และ ธนาคารแห่งประเทศไทย ผู้กำกับธนาคารของรัฐแห่งนี้ ผมจึงคิดว่า กรณีการทุจริตของธนาคาร Society Generale – SG กับการเปิดเผย รวมทั้งการให้ข้อสังเกตของหน่วยงานกำกับหลายแห่ง รวมถึง FSA ของประเทศอังกฤษในเรื่องนี้ ในเวลาต่อมานั้น น่าจะพิจารณาว่าเป็นประโยชน์อย่างยิ่งในวงการควบคุม กระบวนการบริหารความเสี่ยง และการตรวจสอบตามฐานความเสี่ยง รวมถึงการประเมินตนเองเพื่อการควบคุมและการบริหารความเสี่ยง ซึ่งเรียกย่อ ๆ ว่า CSA ในรูปแบบต่าง ๆ ที่ผมจะเผยแพร่ในโอกาสต่อ ๆ ไป

Fraud from Operational Risk & Poor Mgmt.

Fraud from Operational Risk & Poor Mgmt.

ข้อแนะนำของ FSA รวมทั้งข้อสังเกตที่มีประโยชน์อย่างยิ่งในทุกวงการ โดยเฉพาะสถาบันการเงินที่ไม่จำกัดอยู่เพียงความสูญเสียทางการค้าเงิน จากจุดอ่อนของกระบวนการบริหารและควบคุมภายในของ SG ยังได้รับความสนใจที่ค่อนข้างจำกัดอย่างน่าเสียดาย ผมจึงค่อนข้างจะเน้นและย้ำมากว่า หากองค์กรของท่านมุ่งมั่นที่จะบริหารความเสี่ยงอย่างเป็นเลิศ และเป็นกระบวนการที่ดีตามหลัก CG และ ITG รวมถึง GRC ซึ่งเป็น Statement ใหม่นั้น ขอให้ท่านผู้บริหารขององค์กรต่าง ๆ ได้โปรดสนใจที่จะประยุกต์ นำข้อสังเกตของ FSA มาใช้ในทางปฏิบัติให้ได้ผลอย่างจริงจัง

วันนี้ ผมจึงขอนำเสนอข้อสังเกตของ FSA ต่อ และจะตามมาด้วยการวิเคราะห์การบริหารความเสี่ยงของธนาคารของรัฐบางแห่งในโอกาสต่อไป

Off-market rates
9. สง. มีระบบควบคุมเพื่อดูแลการทำธุรกรรม Off market rates ของ Trader หรือไม่ และมีการนับแต้ม (Yellow flag) หรือติดตามผลของการกระทำดังกล่าวหรือไม่
9.1 การทำธุรกรรม Off market rate เป็นสิ่งที่สง.ควรให้ความสำคัญเนื่องจากเป็นช่องทางที่ Trader ใช้ในการตกแต่งกำไรขาดทุน และกลับกำไรขาดทุนเป็นทิศทางที่ตรงข้ามได้
9.2 สง. ควรมั่นใจว่ามีระบบการควบคุมเพื่อตรวจสอบธุรกรรมที่ทำ Off-market rate เพราะเป็นกลไกที่สำคัญมากในการป้องกันการทุจริตของ Trader

P&L attribution
10. สง. มั่นใจได้อย่างไรว่า มีความเข้าใจผลกำไรขาดทุนทั้งหมดของธนาคารว่ามาจากธุรกรรมใด รวมถึงกำไรขาดทุนที่เกิดจากธุรกรรมซับซ้อน
11. สง. เข้าใจหรือไม่ว่ากำไรขาดทุนจำนวนสูงที่เกิดขึ้นในวันแรกของการทำธุรกรรมมาจากไหนและสมเหตุสมผลหรือไม่
11.1 กำไรขาดทุนทำให้สง.เข้าใจความเสี่ยงในการทำธุรกรรมเพราะกำไรขาดทุนเป็นผลจากการรับความเสี่ยง ดังนั้นการทำความเข้าใจว่ากำไรขาดทุนมาจากส่วนใดเป็นสิ่งสำคัญสำหรับสง. โดยเฉพาะการทำธุรกรรมที่มีความซับซ้อนมากๆ
11.2 สง. ควรพิจารณา กำไรขาดทุนจำนวนสูงที่เกิดขึ้นในวันแรกของการทำธุรกรรม และ กำไรขาดทุนจำนวนสูง ที่เกิดจากการยกเลิกหรือแก้ไขธุรกรรมว่ามีเหตุผลเพียงพอควรทำการวิเคราะห์หาสาเหตุหรือไม่

Reconciliations
12. สง. มั่นใจได้อย่างไรว่ามีการวางระบบการกระทบยอดที่เหมาะสมและสามารถนำไปใช้งานได้อย่างมีประสิทธิภาพ
12.1 การกระทบยอดเป็นการควบคุมที่จำเป็นเพื่อให้มั่นใจได้ว่าฐานะด้าน ต่างๆ ถูกต้องตรงกันในทุกระบบของ สง. เช่น การกระทบยอดระหว่าง Front office , Back office และ Risk Management รวมถึงการยืนยันยอดกับ Custodians / Nostro account / ตลาดหลักทรัพย์ และ Broker สง. ควรมีการออกแบบกระบวนการในการสอบยันเพื่อป้องกันไม่ให้มีช่องว่างหรือจุดบกพร่องที่มีนัยสำคัญ และระบบที่ดีควรระบุถึงสาเหตุที่มีการกระทบยอดไม่ตรงกันว่ามาจากที่ใดเพื่อให้ทำการตรวจสอบและปรับปรุงแก้ไขให้ถูกต้อง
12.2 ควรกำหนดระยะเวลาที่ส่วนงานไม่สามารถหาสาเหตุของการกระทบยอดที่ไม่ตรงกันเป็นตัวชี้วัดผลการปฏิบัติงาน เพื่อส่งเสริมให้มีการควบคุมการกระทบยอดให้มีความถูกต้องรัดกุม

Confirmations
13. สง. มีการวางขั้นตอนระบบการยืนยันยอด (Confirmation) และระบบควบคุมเพื่อลดความเสี่ยงที่เกิดจากรายการที่ไม่มีการยืนยัน (Unconfirmed trade) อย่างไร
14. สง. มั่นใจได้อย่างไรว่าข้อมูลผู้บริหารมีรายละเอียดเพียงพอที่จะระบุถึงความเสี่ยงที่เกิดจาก Outstanding confirmation
14.1 การทำธุรกรรมระหว่าง สง. กับคู่ค้าควรมีการยืนยันเพื่อให้มั่นใจว่า Position ที่บันทึกในระบบของ สง. ถูกต้อง รวมถึงธุรกรรมระหว่างหน่วยงานภายในสง. ด้วย อย่างไรก็ดี สง.ควรมีระบบสืบค้น (Track) และวิเคราะห์รายการ Outstanding confirmation พร้อมทั้งกำหนดขั้นตอนการนำเสนอถึงผู้บริหารระดับสูงหากหน่วยงานที่เกี่ยวข้องไม่สามารถปฏิบัติได้ตาม Service level agreement
14.2 สง. ควรกำหนดให้มี Confirmation ระหว่าง Back office ของ สง. กับ Back office ของคู่ค้าโดยตรง (ไม่ควรผ่าน Front office)
14.3 หาก สง. อยู่ระหว่างขั้นตอนรอเอกสาร Confirmation ฉบับสมบูรณ์ อาจใช้ขั้นตอนการยืนยันเบื้องต้นด้วยวาจาซึ่งถือเป็นเครื่องมือที่มีประโยชน์เช่นกัน เช่นการยืนยันผ่านทางโทรศัพท์ระหว่างฝ่ายงานปฏิบัติการ
14.4 สง. ควรให้ความสนใจกับ Confirmation สำหรับธุรกรรม OTC ซึ่งที่มีลักษณะเฉพาะที่อาจจะก่อให้เกิดความเสี่ยงเพิ่มขึ้นกว่าธุรกรรมปกติ เช่น ธุรกรรมที่ไม่มีการกำหนดให้ส่งมอบหลักประกัน หรือเรียก Margin ระหว่างกันก่อนครบกำหนดสัญญา เป็นต้น

Margining collateralization and cash management
15. สง. มั่นใจได้อย่างไรว่าขั้นตอนการเรียกหรือวาง Margin นำมาใช้ปฏิบัติได้อย่างเหมาะสม และการเปลี่ยนแปลง Margin แต่ละครั้งมีการสอบยันกับฐานะที่เกี่ยวข้องในการบันทึกบัญชี
15.1 ธุรกรรมที่มียอดคงค้างจำนวนสูงจะมีการเรียกหรือวาง Margin หรือหลักประกันที่สูงขึ้นเช่นกัน ดังนั้น สง. ควรมีระบบการสอบยันการเรียกหรือวาง Margin หรือหลักประกันเพื่อให้มั่นใจได้ว่าการเรียกหรือวาง Margin และสัมพันธ์กับ Position ในบัญชี ถูกต้องตรงกัน
15.2 สง. ควรมีการวิเคราะห์ที่มาของ Gross และ Net cash-flow และเข้าใจว่ารายการดังกล่าวอยู่ในส่วนใดของข้อบังคับ ฐานะและ รายงานกำไรขาดทุน เช่น ถ้ามี Net cash- flow เกิดขึ้นต้องดูว่า Net cash-flow นั้นถูก Offset โดยรายการใด เช่น Unrealized gain/loss ที่เป็น Unmargined/Uncollaterized gain/loss จากรายการใด

Segregation of duties and IT security
16. สง. มั่นใจได้อย่างไรว่ามีระบบ Access control ที่เหมาะสม และมาตรการรักษาความปลอดภัยที่ดี
17. สง.มีการแยกอำนาจหน้าที่เพื่อไม่ให้ User ที่มีเจตนาทุจริตทำความเสียหายแก่ สง.หรือไม่
17.1 สง.ควรพิจารณาว่ามีการดำเนินการด้าน IT security และ Access control อย่างเหมาะสมหรือไม่ เพื่อให้ User สามารถเข้าระบบเฉพาะที่เกี่ยวข้องกับงานตนเอง เช่น การแบ่งหน้าที่ของผู้จัดทำและผู้สอบทาน (Maker-checker) หรือ สามารถเข้าระบบที่ทำธุรกรรมเฉพาะที่ตนได้รับมอบอำนาจเท่านั้น สง.ควรพิจารณาทบทวนสิทธิในการเข้าระบบงานของพนักงานเป็นระยะๆ นอกจากนี้ควรให้ความสนใจกับขั้นตอนที่อาจเกิดความเสี่ยงจากการโอนย้ายหน้าที่ของพนักงานใน 3 หน่วยงานคือ Front office, Middle office และ Back office
17.2 ประเด็นที่ควรระวังเบื้องต้นคือ การใช้ Password ร่วมกันในการเข้าระบบ การใช้ Password ที่ง่ายต่อการเดา การควบคุมที่ทำได้ง่ายคือการให้ User เปลี่ยน Password เป็นระยะๆ และการสั่งระบบให้ Lock การเข้าระบบหากมีการใส่ Password ผิดกี่ครั้ง นอกจากนี้ควรมีการตรวจสอบได้ว่ามีการเข้าระบบนั้นๆ โดยส่วนงานใด เช่น เครื่องคอมพิวเตอร์ของ Front office เข้าระบบงานของ Back office สง. ควรส่งเสริมวัฒนธรรมการเก็บรักษา Password ของตนเองโดยไม่ให้มีการใช้ Password ร่วมกัน

Good Corporate Governance & Internal Audit

Good Corporate Governance & Internal Audit

ผมใคร่ขอเรียนย้ำต่อคณะกรรมการและท่านผู้บริหารของทุกองค์กร โดยเฉพาะอย่างยิ่งสถาบันการเงินอีกครั้งว่า ท่านทราบหรือยังครับว่า องค์กรของท่านมีจุดอ่อนในกระบวนการบริหาร การควบคุมความเสี่ยง และการตรวจสอบตามฐานความเสี่ยงที่ยังไม่ทำ Gap Analysis เพื่อการบริหารการจัดการที่ดี ตามหลัก COSO – ERM ระหว่างข้อสังเกตของ FSA ข้างต้น ในส่วนที่ประยุกต์ได้กับแนวทางการบริหารการจัดการขององค์กรของท่านที่เป็นอยู่ในปัจจุบัน หรือ ท่านแน่ใจอย่างสมเหตุสมผลอย่างไรว่า องค์กรของท่านมีกระบวนการควบคุมความเสี่ยงต่าง ๆ ตามนัยของข้อสังเกต FSA ซึ่งอยู่ในระดับที่ยอมรับได้แล้ว คือมีการกำหนด Risk Appetite และ Risk Tolerance โดยผ่านคณะกรรมการเรียบร้อยแล้ว และมีการปฏิบัติ และรายงานอย่างสม่ำเสมออยู่จริง

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Lesson Learned จากการกำกับดูแลของ FSA เพื่อป้องกันการเกิดกรณีทุจริตของผู้ค้าเงินของธนาคาร Societe Generale (ต่อ)

พ.ค. 7, 2009

ดีใจได้เดี๋ยวเดียวเองครับ กับอินเตอร์เน็ตที่คิดว่าใช้งานได้ดีแล้ว คิดว่าวันนี้จะ update หัวข้อต่าง ๆ ที่ยังค้างคา อย่างกรณีเรื่องเล่าของ FSA ที่ยังค้างไว้เมื่อครั้งที่แล้ว และยังเรื่องของการบริหารความเสี่ยง หรือเรื่องของ CG อีก สุดท้ายก็ยังใช้งานได้ติด ๆ ขัด ๆ อยู่ดี แต่ผมตั้งใจไว้แล้วว่าวันนี้จะ update ให้ได้ ผมก็จะพยายามจนสุดความสามารถละกันนะครับ

จากกรณีศึกษา เรื่อง FSA – Financial Services Authority สอบสวนถึงกรณีการทุจริตของธนาคาร Societe Generale (SG) ซึ่งจะมีประโยชน์อย่างยิ่งต่อสถาบันการเงินทุกแห่ง รวมทั้งองค์กรที่ไม่ได้เป็นสถาบันการเงินด้วย ทั้งนี้เพราะข้อสังเกตของ FSA ซึ่งเป็นหน่วยงานกำกับของประเทศอังกฤษ ได้ร่วมกับหน่วยงานกำกับอื่น ๆ ในการศึกษาเพื่อป้องกันปัญหาการทุจริตในสถาบันการเงินต่อไปในอนาคตนั้น จะมีประโยชน์ในเชิงป้องกันปัญหาการทุจริตในวงการบริหารเงิน การกำกับสถาบันการเงินที่ไม่จำเป็นจะต้องเป็นผู้ค้าเงินด้วยก็ตาม

คำถามซึ่งผสมผสานไปด้วยข้อคิด และข้อสังเกตไปในตัวในแต่ละข้อนั้น มีลักษณะให้ผู้บริหารขององค์กรต้องตอบอย่างมั่นใจว่า องค์กรของตนได้มีการปฏิบัติที่เหมาะสมเกี่ยวกับการควบคุมความเสี่ยงต่าง ๆ ที่เกี่ยวข้องหรือไม่ ผมได้แนะนำให้สถาบันการเงินบางแห่งและองค์กรที่ไม่ใช่เป็นสถาบันการเงิน ได้นำข้อสังเกตกึ่งข้อแนะนำของ FSA นี้ไปใช้ในการทบทวนการป้องกันความเสี่ยงในแง่มุมต่าง ๆ ขององค์กรในเชิงรุก

ท่านผู้บริหารและผู้ตรวจสอบที่สนใจในเรื่องนี้ บางหน่วยงานให้ข้อสังเกตในลักษณะว่าเป็นเรื่องที่เกี่ยวข้องกับการค้าเงินของสถาบันการเงิน ซึ่งอาจไม่ตรงกับการดำเนินงานขององค์กรของตนมากนัก เรื่องนี้ผมใคร่ขอเรียนย้ำว่า ขอให้ท่านผู้บริหารได้โปรดศึกษาในเนื้อหาและสาเหตุของการทุจริตอย่างละเอียด และนำหลักการของ COSO – ERM มาประยุกต์ใช้และเปรียบเทียบ โดยใช้ดุลยพินิจและนำมาประยุกต์กับหน่วยงานของท่าน โดยการตั้งคำถามในเรื่องที่เกี่ยวข้องเช่นเดียวกับที่ FSA ได้ตั้งคำถามและนำคำตอบหลากหลายนั้น มาตั้งคำถามเพิ่มเติมเพื่อให้ได้คำตอบในแง่มุมที่เกี่ยวข้อง และตั้งคำถามจากคำตอบหลังสุดนั้นไปเรื่อย ๆ อย่างเป็นกระบวนการตามหลักการของ COSO – ERM ผสมผสานกับหลักการของ COBIT ภายใต้ร่มของ IT Governance ท่านผู้บริหารก็จะได้ภาพที่น่าสนใจอย่างยิ่ง ที่สามารถนำมาสร้างเป็นหลักการในการควบคุมความเสี่ยง รวมทั้งออกนโยบายที่เกี่ยวข้องได้อย่างเหมาะสมต่อไป

ความเสี่ยงในการตรวจสอบ (Audit Risk) ประการหนึ่งที่สำคัญอย่างยิ่ง ก็คือ ผู้ตรวจสอบไม่ได้ตรวจสอบหรือแม้แต่วางแผนการตรวจสอบ ประเด็นที่อาจปรับปรุงกระบวนการบริหารงานของผู้บริหารในองค์กรอย่างเป็นกระบวนการที่แท้จริง เช่น การมอบอำนาจให้กับผู้ที่เกี่ยวข้อง ซึ่งควรจะมีการควบคุมอย่างใกล้ชิดเพื่อรักษาดุลยภาพและความเหมาะสมในการให้อำนาจกับบุคคลนั้น ๆ โดยมี Dual Control ที่ได้ดุลยภาพผสมผสานกับการใช้เทคโนโลยีเข้าช่วยในการควบคุมและรายงานสิ่งผิดปกติ ที่อาจจะเกิดขึ้นได้ ซึ่งเรื่องนี้อาจเปรียบเทียบได้กับกรณีของ ธอส. ซึ่งกระทรวงการคลังกำลังขอให้ผู้บริหารของ ธอส. ชี้แจงในเรื่องนี้ ซึ่งมีแง่มุมที่น่าสนใจที่อาจนำมาแลกเปลี่ยนความคิดเห็นในโอกาสต่อไป

วันนี้ ผมจึงขอนำข้อสังเกตจากกรณีศึกษาของ FSA กรณีการทุจริตของ Societe Generale (SG) มาเล่าต่อจากวันก่อน เพื่อให้ท่านที่สนใจได้ช่วยกันวิเคราะห์ และจะมีประโยชน์อย่างยิ่ง หากผู้บริหารของสถาบันการเงินและองค์กรที่เกี่ยวข้องกับการบริหารเงินจะได้สนใจ และประเมินศักยภาพของผู้บริหารและผู้ตรวจสอบภายในในองค์กรของท่านต่อไป

Control functions: culture and challenge
3. สง. มั่นใจได้อย่างไรว่าหน่วยงานที่ทำหน้าที่ควบคุมมีความรู้และทักษะเพียงพอ เพื่อสามารถติดตามการทำงานของ front office ได้อย่างมีประสิทธิภาพ
4. สง. มั่นใจได้อย่างไรว่าระบบการสอบทานและควบคุม ทำงานได้อย่างมีประสิทธิภาพตามที่คาดหวัง
4.1 สง. ควรมีการพิจารณาอย่างสม่ำเสมอว่าบุคลากรทุกคนที่ทำหน้าที่เกี่ยวข้องกับการควบคุม ( Control function ) มีความรู้ความสามารถและมีอำนาจในการติดตามการทำงานของ front office ได้อย่างมีประสิทธิภาพเมื่อมีการทำธุรกรรมที่เกิน Limit หรือเมื่อเกิดเหตุการณ์ที่น่าสงสัยขึ้น
4.2 Middle office และ Back office มีความเข้าใจหรือไม่ว่าเมื่อใดควรใช้ บัญชีพัก (Suspense account) ในการบันทึกรายการ ทั้งนี้เพื่อป้องกันการใช้ บัญชีพัก ผิดวัตถุประสงค์ของ Trader (อาจใช้ บัญชีพัก เพื่อซ่อนรายการทุจริต) นอกจากนี้ หากมีธุรกรรมต้องสงสัย สง. มีขั้นตอนการนำเสนอรายงานตามลำดับชั้นถึงผู้บริหารเพื่อการตัดสินใจหรือไม่
4.3 เพื่อความมีประสิทธิภาพของการปฏิบัติงาน สง.ควรมีการคัดเลือกและรักษาพนักงานที่มีคุณภาพ รวมถึงมีการฝึกอบรมพนักงานอย่างสม่ำเสมอ

Risk management and limit
5. สง. มั่นใจได้อย่างไรว่ามีการตรวจสอบความเสี่ยงทุกประเภทที่มีนัยสำคัญได้อย่างถูกต้องครบถ้วน เช่น Exotic risk, Basic risk เป็นต้น
6. สง. มั่นใจได้อย่างไรว่า Limit ที่มีครอบคลุมความเสี่ยงทุกประเภทอย่างเหมาะสม และมีการติดตามความเสี่ยงทั้งหมดเป็นประจำอย่างสม่ำเสมอ
6.1 สง. ควรมีเครื่องมือที่สามารถตรวจสอบ Position ของ Trader โดยเปรียบเทียบกับอำนาจการทำธุรกรรมและ Limit ที่ Trader ได้รับ นอกจากนี้ควรเทียบ Position ของ Trader ว่ามีสัดส่วนเท่าใดของ Position ทั้ง Desk เพื่อทราบว่าธุรกรรมของ Trader รายนั้นต้องติดตามดูแลเป็นพิเศษหรือไม่
6.2 สง. ควรต้องติดตามดูแลความเสี่ยงที่อาจตรวจวัดได้ยาก เช่น Exotic and Higher order risk, Basic risk และ Liquidity risk ซึ่งในกรณีนี้ สง.ควรใช้เครื่องมือที่มีประโยชน์ เช่น Gross notional limit หรือ Gross sensitivity limits เพื่อควบคุมความเสี่ยงดังกล่าว

Management information
7. ตัวชี้วัดผลการปฏิบัติงานที่ใช้เป็นข้อมูลในการบริหารมีความละเอียดและเหมาะสมเพียงพอหรือไม่
8. สง. มีการรวบรวมข้อมูลจากทุกหน่วยงานที่เกี่ยวข้องเพื่อให้แน่ใจได้ว่าการปฏิบัติที่ไม่ถูกต้องและหรือธุรกรรมต้องสงสัยถูกตรวจจับ
8.1 หาก Trader สามารถทำธุรกรรมได้หลากหลายผลิตภัณฑ์ในหลายตลาด อาจถูกติดตามดูแลโดย Middle office ต่างทีมกัน จึงควรรวบรวมข้อมูลจาก Middle office ทุกทีมเพื่อใช้ติดตามผลการปฏิบัติงานของ Trader แต่ละราย นอกจากนี้ควรมีขั้นตอนการนำเสนอและการรวบรวมตัวชี้วัดจากหน่วยงานที่เกี่ยวข้องทั้งหมดเพื่อให้ผู้บริหารในห้องค้าและหน่วยงานที่ทำหน้าที่ควบคุมใช้ประเมินผลการปฏิบัติงาน Trader ได้อย่างครบถ้วนเหมาะสม
8.2 ตัวอย่างเช่น สง.มีการกำหนดว่า Trader ทำผิดกี่ครั้งจะได้รับ Yellow flag และกำหนดว่า Yellow flag กี่ครั้งจึงเท่ากับ Red flag เพื่อพิจารณาว่า Trader รายนั้นมีการทำผิดในเรื่องเดิมๆ หลายครั้งหรือไม่
8.3 สง. ควรให้ความสนใจกับข้อสังเกตของผู้ที่อยู่ภายนอกองค์กร เช่น การตั้งข้อสังเกตโดยตลาดหลักทรัพย์ว่าสง.มีการทำธุรกรรมซื้อขายในปริมาณที่ผิดปกติ สง. ควรมีการนำเสนอข้อมูลดังกล่าวร่วมกับข้อมูลต้องนำเสนอผู้บริหารด้วย เพื่อพิจารณาว่าควรตั้งเป็นข้อสังเกตและติดตามดูแลหรือไม่อย่างไร นอกจากนี้ประเด็นที่ถูกตั้งเป็นข้อสังเกตจากตลาดฯ ควรมีการสืบสวนหาข้อเท็จจริงโดยหน่วยงานที่เป็นอิสระจาก Trader หรือไม่

ยังครับ ยังไม่จบเท่านี้ ไว้คราวหน้าผมจะมาเล่าต่ออีกในกรณีศึกษา การทุจริตของธนาคาร Societe Generale (SG) ครับ

Leave a Comment » | IT Audit, Non - IT Audit / การตรวจสอบโดยทั่วไป | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »