Posts Tagged "กรณีการทุจริตของ ธอส. กับ Lesson Learned"

Lesson Learned จากการกำกับดูแลของ FSA เพื่อป้องกันการเกิดกรณีทุจริตของผู้ค้าเงินของธนาคาร Societe Generale (ต่อ)

ดีใจได้เดี๋ยวเดียวเองครับ กับอินเตอร์เน็ตที่คิดว่าใช้งานได้ดีแล้ว คิดว่าวันนี้จะ update หัวข้อต่าง ๆ ที่ยังค้างคา อย่างกรณีเรื่องเล่าของ FSA ที่ยังค้างไว้เมื่อครั้งที่แล้ว และยังเรื่องของการบริหารความเสี่ยง หรือเรื่องของ CG อีก สุดท้ายก็ยังใช้งานได้ติด ๆ ขัด ๆ อยู่ดี แต่ผมตั้งใจไว้แล้วว่าวันนี้จะ update ให้ได้ ผมก็จะพยายามจนสุดความสามารถละกันนะครับ

จากกรณีศึกษา เรื่อง FSA – Financial Services Authority สอบสวนถึงกรณีการทุจริตของธนาคาร Societe Generale (SG) ซึ่งจะมีประโยชน์อย่างยิ่งต่อสถาบันการเงินทุกแห่ง รวมทั้งองค์กรที่ไม่ได้เป็นสถาบันการเงินด้วย ทั้งนี้เพราะข้อสังเกตของ FSA ซึ่งเป็นหน่วยงานกำกับของประเทศอังกฤษ ได้ร่วมกับหน่วยงานกำกับอื่น ๆ ในการศึกษาเพื่อป้องกันปัญหาการทุจริตในสถาบันการเงินต่อไปในอนาคตนั้น จะมีประโยชน์ในเชิงป้องกันปัญหาการทุจริตในวงการบริหารเงิน การกำกับสถาบันการเงินที่ไม่จำเป็นจะต้องเป็นผู้ค้าเงินด้วยก็ตาม

คำถามซึ่งผสมผสานไปด้วยข้อคิด และข้อสังเกตไปในตัวในแต่ละข้อนั้น มีลักษณะให้ผู้บริหารขององค์กรต้องตอบอย่างมั่นใจว่า องค์กรของตนได้มีการปฏิบัติที่เหมาะสมเกี่ยวกับการควบคุมความเสี่ยงต่าง ๆ ที่เกี่ยวข้องหรือไม่ ผมได้แนะนำให้สถาบันการเงินบางแห่งและองค์กรที่ไม่ใช่เป็นสถาบันการเงิน ได้นำข้อสังเกตกึ่งข้อแนะนำของ FSA นี้ไปใช้ในการทบทวนการป้องกันความเสี่ยงในแง่มุมต่าง ๆ ขององค์กรในเชิงรุก

ท่านผู้บริหารและผู้ตรวจสอบที่สนใจในเรื่องนี้ บางหน่วยงานให้ข้อสังเกตในลักษณะว่าเป็นเรื่องที่เกี่ยวข้องกับการค้าเงินของสถาบันการเงิน ซึ่งอาจไม่ตรงกับการดำเนินงานขององค์กรของตนมากนัก เรื่องนี้ผมใคร่ขอเรียนย้ำว่า ขอให้ท่านผู้บริหารได้โปรดศึกษาในเนื้อหาและสาเหตุของการทุจริตอย่างละเอียด และนำหลักการของ COSO – ERM มาประยุกต์ใช้และเปรียบเทียบ โดยใช้ดุลยพินิจและนำมาประยุกต์กับหน่วยงานของท่าน โดยการตั้งคำถามในเรื่องที่เกี่ยวข้องเช่นเดียวกับที่ FSA ได้ตั้งคำถามและนำคำตอบหลากหลายนั้น มาตั้งคำถามเพิ่มเติมเพื่อให้ได้คำตอบในแง่มุมที่เกี่ยวข้อง และตั้งคำถามจากคำตอบหลังสุดนั้นไปเรื่อย ๆ อย่างเป็นกระบวนการตามหลักการของ COSO – ERM ผสมผสานกับหลักการของ COBIT ภายใต้ร่มของ IT Governance ท่านผู้บริหารก็จะได้ภาพที่น่าสนใจอย่างยิ่ง ที่สามารถนำมาสร้างเป็นหลักการในการควบคุมความเสี่ยง รวมทั้งออกนโยบายที่เกี่ยวข้องได้อย่างเหมาะสมต่อไป

ความเสี่ยงในการตรวจสอบ (Audit Risk) ประการหนึ่งที่สำคัญอย่างยิ่ง ก็คือ ผู้ตรวจสอบไม่ได้ตรวจสอบหรือแม้แต่วางแผนการตรวจสอบ ประเด็นที่อาจปรับปรุงกระบวนการบริหารงานของผู้บริหารในองค์กรอย่างเป็นกระบวนการที่แท้จริง เช่น การมอบอำนาจให้กับผู้ที่เกี่ยวข้อง ซึ่งควรจะมีการควบคุมอย่างใกล้ชิดเพื่อรักษาดุลยภาพและความเหมาะสมในการให้อำนาจกับบุคคลนั้น ๆ โดยมี Dual Control ที่ได้ดุลยภาพผสมผสานกับการใช้เทคโนโลยีเข้าช่วยในการควบคุมและรายงานสิ่งผิดปกติ ที่อาจจะเกิดขึ้นได้ ซึ่งเรื่องนี้อาจเปรียบเทียบได้กับกรณีของ ธอส. ซึ่งกระทรวงการคลังกำลังขอให้ผู้บริหารของ ธอส. ชี้แจงในเรื่องนี้ ซึ่งมีแง่มุมที่น่าสนใจที่อาจนำมาแลกเปลี่ยนความคิดเห็นในโอกาสต่อไป

วันนี้ ผมจึงขอนำข้อสังเกตจากกรณีศึกษาของ FSA กรณีการทุจริตของ Societe Generale (SG) มาเล่าต่อจากวันก่อน เพื่อให้ท่านที่สนใจได้ช่วยกันวิเคราะห์ และจะมีประโยชน์อย่างยิ่ง หากผู้บริหารของสถาบันการเงินและองค์กรที่เกี่ยวข้องกับการบริหารเงินจะได้สนใจ และประเมินศักยภาพของผู้บริหารและผู้ตรวจสอบภายในในองค์กรของท่านต่อไป

Control functions: culture and challenge
3. สง. มั่นใจได้อย่างไรว่าหน่วยงานที่ทำหน้าที่ควบคุมมีความรู้และทักษะเพียงพอ เพื่อสามารถติดตามการทำงานของ front office ได้อย่างมีประสิทธิภาพ
4. สง. มั่นใจได้อย่างไรว่าระบบการสอบทานและควบคุม ทำงานได้อย่างมีประสิทธิภาพตามที่คาดหวัง
4.1 สง. ควรมีการพิจารณาอย่างสม่ำเสมอว่าบุคลากรทุกคนที่ทำหน้าที่เกี่ยวข้องกับการควบคุม ( Control function ) มีความรู้ความสามารถและมีอำนาจในการติดตามการทำงานของ front office ได้อย่างมีประสิทธิภาพเมื่อมีการทำธุรกรรมที่เกิน Limit หรือเมื่อเกิดเหตุการณ์ที่น่าสงสัยขึ้น
4.2 Middle office และ Back office มีความเข้าใจหรือไม่ว่าเมื่อใดควรใช้ บัญชีพัก (Suspense account) ในการบันทึกรายการ ทั้งนี้เพื่อป้องกันการใช้ บัญชีพัก ผิดวัตถุประสงค์ของ Trader (อาจใช้ บัญชีพัก เพื่อซ่อนรายการทุจริต) นอกจากนี้ หากมีธุรกรรมต้องสงสัย สง. มีขั้นตอนการนำเสนอรายงานตามลำดับชั้นถึงผู้บริหารเพื่อการตัดสินใจหรือไม่
4.3 เพื่อความมีประสิทธิภาพของการปฏิบัติงาน สง.ควรมีการคัดเลือกและรักษาพนักงานที่มีคุณภาพ รวมถึงมีการฝึกอบรมพนักงานอย่างสม่ำเสมอ

Risk management and limit
5. สง. มั่นใจได้อย่างไรว่ามีการตรวจสอบความเสี่ยงทุกประเภทที่มีนัยสำคัญได้อย่างถูกต้องครบถ้วน เช่น Exotic risk, Basic risk เป็นต้น
6. สง. มั่นใจได้อย่างไรว่า Limit ที่มีครอบคลุมความเสี่ยงทุกประเภทอย่างเหมาะสม และมีการติดตามความเสี่ยงทั้งหมดเป็นประจำอย่างสม่ำเสมอ
6.1 สง. ควรมีเครื่องมือที่สามารถตรวจสอบ Position ของ Trader โดยเปรียบเทียบกับอำนาจการทำธุรกรรมและ Limit ที่ Trader ได้รับ นอกจากนี้ควรเทียบ Position ของ Trader ว่ามีสัดส่วนเท่าใดของ Position ทั้ง Desk เพื่อทราบว่าธุรกรรมของ Trader รายนั้นต้องติดตามดูแลเป็นพิเศษหรือไม่
6.2 สง. ควรต้องติดตามดูแลความเสี่ยงที่อาจตรวจวัดได้ยาก เช่น Exotic and Higher order risk, Basic risk และ Liquidity risk ซึ่งในกรณีนี้ สง.ควรใช้เครื่องมือที่มีประโยชน์ เช่น Gross notional limit หรือ Gross sensitivity limits เพื่อควบคุมความเสี่ยงดังกล่าว

Management information
7. ตัวชี้วัดผลการปฏิบัติงานที่ใช้เป็นข้อมูลในการบริหารมีความละเอียดและเหมาะสมเพียงพอหรือไม่
8. สง. มีการรวบรวมข้อมูลจากทุกหน่วยงานที่เกี่ยวข้องเพื่อให้แน่ใจได้ว่าการปฏิบัติที่ไม่ถูกต้องและหรือธุรกรรมต้องสงสัยถูกตรวจจับ
8.1 หาก Trader สามารถทำธุรกรรมได้หลากหลายผลิตภัณฑ์ในหลายตลาด อาจถูกติดตามดูแลโดย Middle office ต่างทีมกัน จึงควรรวบรวมข้อมูลจาก Middle office ทุกทีมเพื่อใช้ติดตามผลการปฏิบัติงานของ Trader แต่ละราย นอกจากนี้ควรมีขั้นตอนการนำเสนอและการรวบรวมตัวชี้วัดจากหน่วยงานที่เกี่ยวข้องทั้งหมดเพื่อให้ผู้บริหารในห้องค้าและหน่วยงานที่ทำหน้าที่ควบคุมใช้ประเมินผลการปฏิบัติงาน Trader ได้อย่างครบถ้วนเหมาะสม
8.2 ตัวอย่างเช่น สง.มีการกำหนดว่า Trader ทำผิดกี่ครั้งจะได้รับ Yellow flag และกำหนดว่า Yellow flag กี่ครั้งจึงเท่ากับ Red flag เพื่อพิจารณาว่า Trader รายนั้นมีการทำผิดในเรื่องเดิมๆ หลายครั้งหรือไม่
8.3 สง. ควรให้ความสนใจกับข้อสังเกตของผู้ที่อยู่ภายนอกองค์กร เช่น การตั้งข้อสังเกตโดยตลาดหลักทรัพย์ว่าสง.มีการทำธุรกรรมซื้อขายในปริมาณที่ผิดปกติ สง. ควรมีการนำเสนอข้อมูลดังกล่าวร่วมกับข้อมูลต้องนำเสนอผู้บริหารด้วย เพื่อพิจารณาว่าควรตั้งเป็นข้อสังเกตและติดตามดูแลหรือไม่อย่างไร นอกจากนี้ประเด็นที่ถูกตั้งเป็นข้อสังเกตจากตลาดฯ ควรมีการสืบสวนหาข้อเท็จจริงโดยหน่วยงานที่เป็นอิสระจาก Trader หรือไม่

ยังครับ ยังไม่จบเท่านี้ ไว้คราวหน้าผมจะมาเล่าต่ออีกในกรณีศึกษา การทุจริตของธนาคาร Societe Generale (SG) ครับ

 

Lesson Learned จากการกำกับดูแลของ FSA เพื่อป้องกันการเกิดกรณีทุจริตของผู้ค้าเงินของธนาคาร Societe Generale

หลังจากที่ผมได้หยุดพักผ่อนเนื่องในวันสงกรานต์หลายวัน และหลังจากนั้นก็มีกิจกรรมที่ทำให้ไม่สามารถ Update ข้อมูลได้ตามที่ตั้งใจไว้ ก็ต้องขออภัยด้วยนะครับ

พอดี ผมได้อ่านพบข่าวที่น่าสนใจในหนังสือพิมพ์เกี่ยวกับการทุจริต วงเงินประมาณ 400 ล้านบาท ของธนาคารอาคารสงเคราะห์ (ตามข่าว) ที่เกี่ยวข้องกับ Operational Risk ซึ่งประกอบไปด้วย People Risk + Process Risk + Technology Risk (PPT) ซึ่งเป็นความเสี่ยงที่มีน้ำหนักสูงสุดของความเสี่ยงในวงการสถาบันการเงิน และไม่ใช่สถาบันการเงิน ทำให้นึกถึงเหตุการณ์กรณีทุจริตของธนาคารยักษ์ใหญ่อันดับ 2 ของประเทศฝรั่งเศส ซึ่งเกิดการทุจริตเมื่อประมาณปีเศษ ๆ และมีความเสียหายสูงถึง ประมาณ 3 แสนล้านบาท

การบริหารความเสี่ยงเป็นการบริหารเชิงรุกที่จะต้องป้องกันปัญหาก่อนที่จะเกิดปัญหา โดยมองเหตุการณ์ที่อาจจะเกิดขึ้นในภายภาคหน้า ไม่ว่าจะเป็นปัจจัยภายในหรือปัจจัยภายนอก ตามหลักการของ COSO – ERM ที่เกี่ยวข้องกับการบริหารความเสี่ยงระดับองค์กร เพื่อบรรลุวัตถุประสงค์หลัก ๆ 4 ด้านด้วยกันก็คือ S – O – F – C
S = Strategic, O = Operational, F = Financial and Reproting, C = Compliance

ผมยังจะไม่วิจารณ์มุมมองที่เกี่ยวข้องกับการบริหารความเสี่ยงที่มีผลจาก Operational Risk ที่เกิดจาก PPT ของธนาคารอาคารสงเคราะห์ตามที่เป็นข่าวทั้งระบบ แต่จะให้ข้อสังเกตว่า กรณีการทุจริตของธนาคาร Societe Generale ซึ่งเกิดการทุจริตในการค้าเงินอันเกิดมาจาก Operational Risk เช่นกันนั้น เป็นเรื่องที่น่าศึกษาอย่างยิ่ง เพราะมีความเสียหายอย่างมหาศาลที่ผู้บริหารทุกระดับไม่อาจจะติดตาม ไม่อาจตรวจสอบ และรวมทั้ง ไม่อาจกำกับความเสี่ยงที่เกิดจาก PPT โดยเฉพาะอย่างยิ่งบุคลากรที่เกี่ยวข้องนั้น มีความเก่งทางด้าน IT เป็นเลิศ

ผมจึงขอให้ข้อสังเกตที่เป็นบทความของ FSA ที่เกี่ยวข้องกับการสอบสวนกรณีนี้ และถือว่าเป็น Lesson Learned ที่ดีมากในวงการสถาบันการเงิน และวงการ IT แต่เป็นที่น่าเสียดายอย่างยิ่ง เพราะเท่าที่ผมทราบ มีสถาบันการเงินจำนวนมากที่ไม่ได้นำ Lesson Learned กรณี Societe Generale มาใช้ในการประเมินตนเองในการบริหารความเสี่ยง ในลักษณะของ CSA – Control Self Assessment เพื่อหาทางป้องกันปัญหาที่อาจจะเกิดขึ้นได้ในทำนองเดียวกัน หรือคล้าย ๆ กัน

บทความที่รายงานโดย FSA บางส่วนที่น่าจะเป็นประโยชน์อย่างยิ่งต่อการทำ CSA หรือ QAR (Quality Assurance Review) เพื่อสร้างคุณค่าเพิ่มโดยเสียเงินน้อยที่สุด หรือแทบไม่ต้องเสียเงินเลยนั้น สรุปได้ดังนี้

วันที่ 24 มกราคม 2551 Societe Generale (SG) ได้ประกาศว่า เมื่อวันที่ 18 มกราคม 2551 SG ตรวจพบการมีฐานะด้านสินทรัพย์จากธุรกรรม Futures ประมาณ 50,000 ล้านดอลล่าร์สหรัฐ
ในตลาด European Stock Market Indices ถึงสามแห่ง ซึ่งธุรกรรมดังกล่าวทำโดย Trader เพียงคนเดียว และมีผลให้ SG ขาดทุนถึง 4,900 ล้านดอลล่าร์สหรัฐ ก่อนที่จะมีการปิดฐานะเหล่านั้น (Trader ได้ทำการทุจริตเป็นระยะเวลาต่อเนื่องยาวนาน โดยที่ระบบตรวจสอบควบคุมของทางธนาคารไม่สามารถตรวจพบได้)

หลังจากที่ SG ได้มีการประกาศการทุจริตและผลขาดทุนออกมา Financial Services Authority (FSA) ซึ่งเป็นผู้กำกับดูแล สง.ในประเทศอังกฤษ ได้ติดตามข่าวสารและติดต่อกับผู้กำกับดูแลในต่างประเทศอย่างใกล้ชิด เนื่องจาก FSA ตระหนักว่าควรมีการศึกษากรณีทุจริตดังกล่าวเพื่อป้องกันไม่ให้เกิดเหตุการณ์ที่เช่นนี้อีกในอนาคต

FSA ได้หารืออย่างไม่เป็นทางการกับ Trading Bank ขนาดใหญ่ประมาณ 40-50 แห่ง ว่ามีความเห็นอย่างไรกับกรณี SG พบว่าธนาคารส่วนใหญ่มีการหารือกันภายในเกี่ยวกับกรณีดังกล่าวเพื่อประเมินตนเอง และหลายแห่งได้ระบุถึง Gap ในการทำธุรกรรม และพยายามปิด Gap ดังกล่าวโดยเร็ว

หลังจาก FSA ศึกษากรณีการทุจริตของ SG อย่างใกล้ชิดและหารือกับธนาคารต่างๆ จึงได้จัดทำแนวทางเพื่อให้ธนาคารใช้เพื่อตรวจสอบระบบและการควบคุมต่างๆ ของตนเอง เพื่อป้องกันการทำทุจริตของ Trader ดังนี้

Front Office Culture and Governance
1. สง. มั่นใจได้อย่างไรว่าการกำหนดผลตอบแทน (Incentives) จากการทำธุรกรรมเหมาะสม และไม่ก่อให้เกิดการละเลยในเรื่องการกำกับดูแล และหลักธรรมาภิบาลในห้องค้า
1.1 สง. ควรพิจารณาถึงคุณภาพของข้อมูลที่ใช้ในการบริหารจัดการประจำวันและรายงานเกี่ยวกับการยกเว้นต่างๆ (Exception report) ซึ่งนำเสนอผู้บริหาร ว่าเป็นปัจจุบัน ทันต่อเหตุการณ์ และสอดคล้องกับการเปลี่ยนแปลงของธุรกิจหรือไม่ รวมถึงเหตุการณ์การทุจริตของ Trader
ด้วย นอกจากนี้ สง. ควรพิจารณากำหนดหน้าที่และการรับผิดชอบที่ชัดเจนในการจัดทำรายงาน รวมถึงการกำหนดผลตอบแทนที่เหมาะสมเพื่อส่งเสริมให้มีการกำกับและควบคุมที่ดีในห้องค้า
1.2 หาก Trader มีการยกเลิก หรือแก้ไขการซื้อขายบ่อยครั้งในระยะเวลาหนึ่งๆ สง. ควรให้ความสนใจติดตามเป็นพิเศษโดยผ่านรายงานประจำวันและระบุว่ารายการดังกล่าวเป็นของ Trader รายใด เพื่อให้ผู้บริหารในห้องค้าและผู้ที่ทำหน้าที่ในการควบคุมได้ติดตามดูแลอย่างใกล้ชิด
1.3 สง. ควรจะพิจารณาถึงวัฒนธรรมของห้องค้าว่าสามารถป้องกันการทุจริตของ Trader ได้หรือไม่ เช่น การลาหยุดประจำปีมีข้อบังคับให้ลาพักผ่อนติดต่อกัน 2 สัปดาห์ต่อปี Trader ปฏิบัติตามโดยเคร่งครัดหรือไม่ และในระหว่างที่ Trader หยุดพักผ่อนควรสังเกตว่ามีสิ่งผิดปกติเกิดขึ้นหรือไม่ (ข้อบังคับเรื่องการลาหยุดพักผ่อนเป็นเครื่องมือที่ดีในการตรวจสอบ Trader ที่ทำการทุจริต)

Trading mandates and limits
2. สง. มั่นใจได้อย่างไรว่า การมอบอำนาจในการทำธุรกรรมมีความเหมาะสม มีการปรับให้เป็นปัจจุบัน และมีการติดตามดูแลอย่างใกล้ชิด
2.1 สง. ควรพิจารณาว่าอำนาจในการทำธุรกรรมของ Trader แต่ละรายมีความเหมาะสมหรือไม่ เช่น พิจารณาความสอดคล้องของการกำหนดผลิตภัณฑ์และตลาดที่ Trader สามารถทำธุรกรรมรวมทั้ง Limit ที่ได้รับ นอกจากนี้ ควรให้ผู้ที่เกี่ยวข้องทุกคนลงนามรับทราบข้อกำหนดและ Limit ต่างๆ ร่วมกัน
2.2 สง. ควรพิจารณาว่าข้อกำหนดและ Limit ต่างๆ Trader ได้นำไปปฏิบัติอย่างถูกต้อง โดยมี ผู้บริหารห้องค้าและหน่วยงานอิสระที่ทำหน้าที่ควบคุม ติดตามดูแลอย่างใกล้ชิด นอกจากนี้ สง. มีการกำหนดขั้นตอนที่เหมาะสมในการสอบสวนและนำเสนอผลการสอบสวนเป็นลำดับชั้นเมื่อเกิดการละเมิดข้อกำหนดต่างๆ หรือไม่

เรื่องนี้ ธนาคารแห่งประเทศไทยก็ให้ความสนใจและมีการศึกษาเรื่องนี้กันเป็นพิเศษ ซึ่งเข้าใจว่าคงจะมีการให้คำแนะนำ หรือนำไปใช้ในการทดสอบความพร้อมของสถาบันการเงิน ในเรื่องที่เกี่ยวข้องกับจุดอ่อนในการค้าเงินต่อไปแล้ว

ท่านที่สนใจลองนำคำถามและข้อแนะนำบางประการที่กล่าวข้างต้นไปประเมินตนเองในลักษณะ CSA หรือ QAR อย่างเป็นระบบ เพื่อจัดให้มีการควบคุมความเสี่ยงต่าง ๆ ที่ผมคิดว่า สถาบันการเงินทุกแห่งมีปัญหาเหล่านี้ไม่มากก็น้อย แล้วคำถามและข้อสังเกตอื่น ๆ จะได้นำมาเล่าสู่กันฟังต่อนะครับ