การตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์

วันนี้ผมตั้งใจจะมาเล่าเรื่องสัญญาเตือนภัยที่อาจก่อให้เกิดการทุจริตหรือคิดมิชอบในองค์กร (Red Flags) ที่ใช้คอมพิวเตอร์ ถึงแม้องค์กรใดมีคอมพิวเตอร์ใช้เพียงเครื่องเดียว ก็พิจารณาได้ว่าองค์กรนั้นได้ใช้คอมพิวเตอร์แล้ว

เนื่องจากองค์กรที่ใช้คอมพิวเตอร์ โดยเฉพาะสถาบันการเงินหลายแห่งมีการทุจริตทางด้านคอมพิวเตอร์ที่เปิดเผยแล้วจำนวนหลายธนาคาร และอาจมีบางธนาคารที่ยังไม่พบการทุจริตที่กำลังเกิดขึ้นอยู่แล้วก็ได้ และรวมทั้งระบบ Core Banking หรือ CBS มีจุดอ่อนเป็นอย่างยิ่งในกระบวนการปฏิบัติงาน หรือเรียกว่า Business Process ที่มีผลกระทบสำคัญต่อ Business Objective ในมุมมองต่าง ๆ ตามหลัก Balanced Scorecard ก็เป็นสาเหตุสำคัญประการหนึ่งในการทุจริต และข้อสำคัญก็คือ เกิดปัญหาจาก NPL อันมีสาเหตุสำคัญมาจาก CBS ได้อย่างน่าสนใจ

ผมจะได้นำเสนอ CBS ที่มีผลกระทบต่อ NPL และ NPA และการทุจริตได้ในที่สุด ในมุมมองที่หลากหลายต่อไป แต่เนื่องจากในช่วงเวลานี้ ผมเข้าใจว่า ทางผู้กำกับจากธนาคารแห่งประเทศไทย ในฐานะ Regulators และสถาบันการเงินต่าง ๆ ซึ่งเป็น Operators กำลังหน้าดำคร่ำเครียดกับการตรวจสอบและติดตามสาเหตุของการทุจริตอย่างขะมักขเม้น ผมจึงขอร่วมออกความเห็นในการตรวจสอบการทุจริตที่ใช้คอมพิวเตอร์บางมุมมอง ดังต่อไปนี้

ปัจจุบันเทคโนโลยีสารสนเทศเข้ามามีบทบาทในโลกธุรกิจและชีวิตประจำวันในแทบจะทุกองค์กร รวมทั้งมีความสำคัญยิ่งต่อการกำหนดยุทธศาสตร์ในการบริหารงาน การแข่งขันในทุกระดับและเพิ่มศักยภาพที่ต้องการการให้บริการที่พึงพอใจต่อผู้ที่เกี่ยวข้อง (Stakeholders) ทั้งระดับในและระหว่างประเทศ

กลยุทธ์ใหม่กับการพัฒนาระบบงานเทคโนโลยีสารสนเทศขององค์กรและจุดอ่อนที่ก่อให้เกิดการทุจริต
การพัฒนาระบบงานต่าง ๆ ขององค์กรส่วนใหญ่จะมีเทคโนโลยีสารสนเทศเข้ามาเกี่ยวข้องด้วยเสมอ ในยุคของการค้าเสรีและเศรษฐกิจยุคใหม่ ซึ่งการมีการใช้เทคโนโลยีสารสนเทศได้เปลี่ยนโครงสร้างการดำเนินการและการปฏิบัติงานในระดับหลักๆ ขององค์กรซึ่งทวีความซับซ้อนในการปฏิบัติงานตามหลักการกำกับดูแลกิจการที่ดี (Good Corporate Governance) ซึ่งในกระบวนการดังกล่าว มี IT Governance เป็นส่วนหนึ่งขององค์รวมในการบริหารความเสี่ยง การควบคุม และการตรวจสอบโดยใช้ฐานความเสี่ยง (Risk –Based Audit) อยู่ด้วย

ความสำเร็จในการดำเนินงานไปสู่เป้าหมายและวัตถุประสงค์หลักขององค์กรอย่างยั่งยืนนั้น ย่อมต้องการแนวความคิดในรูปแบบใหม่ที่ต้องอาศัยการปรับปรุงและพัฒนาองค์กรให้เหมาะสมกับสภาพแวดล้อมใหม่ของโลกแห่งการเปลี่ยนแปลงและความก้าวหน้าทางเทคโนโลยีสารสนเทศที่อาจจะเป็นปัญหาจากระบบงานมีจุดอ่อนและเป็นปัจจัยหนึ่งที่จะเกิดความเสียหายกับองค์กรจากการทุจริตได้

บรรยากาศในการบริหารความเสี่ยงที่เกี่ยวกับสภาพแวดล้อมของการควบคุมทั่วไป
เป็นทัศนคติและการดำเนินการขององค์กรและฝ่ายบริหารที่ควรชี้บ่งหรือแสดงให้เห็นถึงความสำคัญของการควบคุมภายใน

บรรยากาศในการควบคุมภายใน ซึ่งเป็นกระบวนการหนึ่งขององค์ประกอบการควบคุมภายในพื้นฐานนี้ก่อให้เกิดระเบียบวินัยและโครงสร้างที่เหมาะสมที่จะเอื้ออำนวยให้องค์กรสามารถบรรลุวัตถุประสงค์หลักของระบบงานการตรวจสอบภายในทั้งทางด้าน IT และด้านทั่วไป ซึ่งประกอบไปด้วยวัตถุประสงค์ในการตรวจสอบประสิทธิภาพ ประสิทธิผลการปฏิบัติงาน วัตถุประสงค์ในการตรวจสอบการปฏิบัติตามกฎหมาย นโยบาย ระเบียบ กฏเกณฑ์ ประกาศ คำสั่งต่างๆ ที่เกี่ยวข้อง และวัตถุประสงค์ในการตรวจสอบความถูกต้องของรายงานทางการเงิน และรวมถึงการตรวจสอบเฉพาะกิจ เช่น การตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ด้วย เป็นต้น

บรรยากาศในการควบคุมทั่วๆ ไปขององค์กรภายใต้การกำกับดูแลกิจการที่ดีโดยรวมคือ
1) ความน่าเชื่อถือได้และความมีจรรยาบรรณระดับต่าง ๆ ขององค์กร โดยเฉพาะผู้บริหารระดับสูง
2) แนวความคิดของหลักการเชิงกลยุทธ และวิธีการปฏิบัติงานของคณะกรรมการและฝ่ายบริหาร
3) โครงสร้างขององค์กร
4) การมอบหมายอำนาจและความรับผิดชอบในการทำงาน
5) นโยบายและวิธีปฏิบัติในการจัดหาพนักงาน
6) ความสามารถของพนักงานและการสรรหาพนักงานระดับต่าง ๆ
7) กระบวนการควบคุม ซึ่งหมายถึง นโยบายวิธีการดำเนินงานและการลงมือปฏิบัติที่อยู่ในกรอบของการควบคุมและการจัดการความเสี่ยงระดับต่างๆ เพื่อให้มั่นใจว่าความเสี่ยงต่าง ๆ รวมทั้งการทุจริตที่อาจเกิดขึ้นในองค์กร ได้ถูกจำกัดให้อยู่ในระดับที่องค์กรยอมรับได้

โปรดติดตามการตรวจสอบการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ได้ต่อไปนะครับ

 

Leave a Reply