Posts Tagged "การตรวจสอบด้านคอมพิวเตอร์"

การตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ (IT / Manual Audit) กับความเข้าใจในภาพโดยรวม

ในครั้งที่แล้ว ผมได้พูดถึงหลักฐานการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์ ที่ผู้ตรวจสอบควรจะมีความรู้ความเข้าใจในองค์รวมที่เกี่ยวกับหลักฐานการตรวจสอบที่เกี่ยวข้อง เพราะมิฉะนั้น การวางแผนการตรวจสอบ ซึ่งเป็นกระบวนการที่สำคัญยิ่งในการตรวจสอบ ทั้งทางด้าน IT และ Non – IT นั้น จะดำเนินการไม่ได้อย่างมีคุณภาพ ประสิทธิภาพ ไม่เข้าใจถึงผลกระทบของรายการที่ประมวลผลโดยคอมพิวเตอร์ ตามรูปแบบของหลักฐานที่มีตามการตรวจสอบ

วันนี้ ผมจะได้อธิบายต่อไป โดยใช้แผนภาพประกอบเป็นส่วนใหญ่ เพื่อพิจารณาขอบเขตการตรวจสอบ เมื่อเทียบกับภาพโดยรวมของการตรวจสอบ ทางด้าน IT / Manual Audit ต่อไปนี้ครับ

จากแผนภาพแทนคำอธิบายข้างต้น ท่านที่สนใจในเรื่อง IT Audit และ Manual Audit ในองค์กรที่ใช้คอมพิวเตอร์ คงจะได้เห็นแนวทางในการก้าวสู่กระบวนการตรวจสอบ จากฐานความเสี่ยงในเรื่องที่เกี่ยวข้อง และบรรลุวัตถุประสงค์ตามขอบเขตของงานที่ต้องการตรวจสอบ ซึ่งจะได้อธิบายในตอนต่อไปนะครับ

 

แผนกลยุทธ์การตรวจสอบและกรอบการตรวจสอบภายในขององค์กรโดยทั่วไป

ครั้งที่แล้วผมได้นำเสนอกรอบการตรวจสอบเรื่องการทุจริต และตั้งใจว่าจะตามด้วยสัญญาเตือนภัยของเหตุการณ์ที่อาจก่อให้เกิดการทุจริต (Red Flag) ได้ อย่างไรก็ดี เพื่อให้ท่านผู้อ่านที่ติดตามเรื่องการตรวจสอบทางด้าน IT และ Non – IT Audit ได้ทราบถึงหัวข้อของแผนกลยุทธ์การตรวจสอบและกรอบการตรวจสอบภายในขององค์กรโดยทั่วไป ผมจึงจะขอนำเสนอและอธิบายด้วยแผนภาพ เพื่อให้เกิดความเข้าใจและติดตามได้โดยง่าย

Internal Auditing Standards and Auditors & CEA

Internal Auditing Standards and Auditors & CEA

มาถึงจุดนี้ ท่านผู้อ่านโดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบภายในและผู้บริหารงานตรวจสอบภายในก็ยังไม่เห็นภาพการแบ่งแยก งานการตรวจสอบทางด้าน IT Audit และ Non – IT Audit ที่ชัดเจน ทั้งนี้เพราะการเข้าใจในลักษณะการปฏิบัติงานของหน่วยงานรับตรวจ รวมทั้งขอบเขตและเป้าประสงค์ในการตรวจสอบ เป็นเรื่องจำเป็นที่จะต้องทำความเข้าใจกระบวนการประมวลข้อมูลด้วยคอมพิวเตอร์ เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า หากผู้ตรวจสอบได้รับมอบหมายให้ปฏิบัติงานตรวจสอบภายใน ในลักษณะที่เป็น manual ซึ่งไม่ใช่เป็นงานทางด้าน IT Audit ผู้ตรวจสอบก็ยังจำเป็นจะต้องศึกษาความน่าเชื่อถือของข้อมูลและสารสนเทศ ที่ประมวลโดยระบบคอมพิวเตอร์ก่อนวางแผนการตรวจสอบในขั้นตอนต่อไป

Lists the phases of a typical audit and Auditors

Lists the phases of a typical audit and Auditors

ในขั้นตอนนี้ สำหรับผู้ตรวจสอบที่ต้องการตรวจสอบภายในที่ไม่เกี่ยวข้องกับทางด้าน IT Audit อาจศึกษาแนวทางการตรวจสอบภายในของ สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย ที่ร่วมกับ ตลาดหลักทรัพย์แห่งประเทศไทย จัดทำหนังสือแนวทางการตรวจสอบภายในขึ้นมา 2 เล่ม ที่ครอบคลุมภาพรวมของการตรวจสอบภายใน กระบวนการตรวจสอบ เทคนิคการตรวจสอบ และการบริหารงานตรวจสอบภายใน ซึ่งจัดทำได้ดีและเข้าใจได้ง่ายที่ผู้ตรวจสอบและผู้บริหารงานตรวจสอบ โดยเฉพาะงานตรวจสอบที่ไม่เกี่ยวข้องกับ IT Audit หรือเกี่ยวข้องในลักษณะเป็นพื้นฐานเบื้องต้น สามารถใช้หนังสือดังกล่าวในการศึกษาเพื่อปฏิบัติงานตรวจสอบภายในได้เป็นอย่างดี

ผมเองจะมุ่งให้คำอธิบายและแนะนำแนวทางการตรวจสอบที่ผสมผสานระหว่าง IT Audit และ Non – IT Audit ที่อาจไม่ได้กล่าวไว้ในหนังสือแนวทางดังกล่าวข้างต้น เพื่อให้เกิดความเข้าใจในอีกมุมมองหนึ่ง

Lists the phases of a typical audit and Auditors

Lists the phases of a typical audit and Auditors

เพื่อเป็นการสะท้อนถึงแนวทางดังกล่าว ผมจึงจะขอนำเสนอคำอธิบายในรูปแบบเป็น Slide ที่สามารถพิจารณาในรายละเอียดและสร้างความเข้าใจได้ลึกซึ้ง และเป็นกระบวนการที่ดีมากกว่าคำอธิบายเป็นลายลักษณ์อักษร ยกเว้นในกรณีจำเป็นที่เห็นว่าจะเป็นประโยชน์ต่อท่านผู้บริหารงานตรวจสอบภายใน และผู้ปฏิบัติงานการตรวจสอบภายใน ผมจึงจะยกตัวอย่างและอธิบายในรายละเอียด ซึ่งเป็นลายลักษณ์อักษรมากขึ้น

วันนี้ เราลองมาดูแผนภาพที่แสดงเป็น Slide ต่าง ๆ ให้ท่านได้ดู ซึ่งพยายามที่จะจัดลำดับให้ท่านผู้อ่านได้ติดตามและทำความเข้าใจได้ง่าย ดังที่เสนอในแผนภาพข้างต้นตามลำดับนะครับ

Risk-based Audit Approach and Auditors

Risk-based Audit Approach and Auditors

สำหรับการตรวจสอบการปฏิบัติการ โดยเฉพาะอย่างยิ่งการตรวจสอบที่เกี่ยวกับความเสี่ยงทางด้านผู้บริหาร และพนักงาน (People Risk) กระบวนการดำเนินงาน (Process Risk) และเทคโนโลยี (Technology Risk) ซึ่งเป็นเรื่องที่มีความสำคัญมาก โดยเฉพาะอย่างยิ่ง ธนาคารแห่งประเทศไทย ก็ให้ความสำคัญและให้น้ำหนักของกระบวนการตรวจสอบด้าน Operational Risk ซึ่งจะมีผลอย่างสำคัญต่อ Management Risk ที่มีผลกระทบต่อองค์กรในวงกว้าง และบางกรณีมีผลกระทบไม่เฉพาะหน่วยงานใด หน่วยงานหนึ่ง แต่มีผลกระทบต่อระบบงานและสังคมในภาพใหญ่เลยทีเดียว

Understand the Control Environment and Flow of Transactions

Understand the Control Environment and Flow of Transactions

สำหรับการตรวจสอบและประเมินศัยกภาพการปฏิบัติตาม Compliance ขอให้ท่าน CAE และผู้ตรวจสอบทุกท่าน ได้โปรดอย่าลืมว่า การบริหารเพื่อสร้างคุณค่าเพิ่มในลักษณะของ GRC ซึ่งเป็นกระบวนการขับเคลื่อนระบบบริหารแบบบูรณาการทั่วทั้งองค์กร ที่เรียกว่า Integrity – Driven Performance และเป็น A New Strategy for Success ผ่านกระบวนการ GRC ซึ่งเป็นแนวทางปฏิบัติของการบริหารยุคใหม่ที่เปลี่ยนคำจำกัดความในการบรรลุเป้าหมาย โดยมุ่งเน้น Stakeholders แทน Shareholders และได้เพิ่มการปฏิบัติตามมาตรฐาน และการสร้างจริยธรรมทางธุรกิจในการบริหารอย่างเป็นกระบวนการ ตามที่ผมได้กล่าวไว้ในหัวข้อ GRC ในวันนี้และในวันต่อ ๆ ไปนั้น ขอให้ท่านผู้บริหารงานตรวจสอบได้ลองติดตามดูว่า หากท่านจะวางแผนการตรวจสอบการบริหารงานยุคใหม่ที่ใช้กรอบของ GRC เป็นหลักแล้วละก็ ท่านควรจะวางแผนและปฏิบัติงานตรวจสอบเช่นใดจึงจะเหมาะสมนะครับ

 

การพัฒนาระบบเทคโนโลยีสารสนเทศที่มีจุดอ่อนและอาจนำไปสู่ความเสียหาย

แน่นอนละครับว่า การปฏิบัติงานต่าง ๆ ทางด้านคอมพิวเตอร์ การพัฒนาระบบงาน รวมถึงจุดอ่อนของการพัฒนาระบบงานด้านเทคโนโลยีสารสนเทศ อาจก่อให้เกิดการทุจริตในรูปแบบต่าง ๆ ได้ ฉะนั้น ผมว่าการปฏิบัติงานในเชิงป้องกันปัญหาก่อนที่ปัญหาจะเกิดย่อมดีกว่าการที่ปล่อยให้เกิดปัญหาแล้วมาแก้ไขในภายหลังครับ

ขั้นตอนการพัฒนางานโดยองค์กรเองหรือว่าจ้างผู้เชี่ยวชาญภายนอก รวมทั้งการ Customize หรือ Modify โปรแกรมสำเร็จรูปเพื่อการใช้งานทั่วไป อาจสร้างปัญหาให้องค์กรได้ โดยมีเหตุการณ์/การกระทำบางประการที่จะสร้างความเสียหายให้กับองค์กร ซึ่งมีแนวทางการควบคุมและจัดการกับความเสี่ยงได้ระดับหนึ่งดังนี้

ความเสี่ยงจากเหตุการณ์และ/หรือการกระทำ
1. การวิเคราะห์และประเมินผลได้และเสียที่เกิดจากการเปลี่ยนแปลงภายนอก ทั้งทางด้านเทคโนโลยี นวัตกรรมต่าง ๆ ของบุคลากร การควบคุม การตรวจสอบ การบริหารความเสี่ยงที่ไม่เหมาะสม และไม่อาจตอบสนองความต้องการหรือกลยุทธ์และเป้าหมายที่เปลี่ยนแปลงไปได้ทันเวลา

2. ผู้บริหารระดับอาวุโสละเลยความรับผิดชอบและการตัดสินใจที่เกี่ยวข้องกับการพัฒนาระบบงานโดยอ้างเหตุผลว่าเป็นเรื่องทางเทคนิค เกินกว่าจะทำความเข้าใจได้ และมิได้มอบหมายให้มีกระบวนการพัฒนางานอย่างมีระบบที่ต้องมีการประเมินงานทุกขั้นตอน

3. ผู้วิเคราะห์ระบบงานไม่เข้าใจระบบงานและความต้องการของผู้ใช้ข้อมูล (Users) ดีพอ รวมทั้งการใช้เทคนิคทางการประมวลข้อมูลที่ไม่เหมาะสม ซึ่งจะส่งผลให้คู่มือการปฏิบัติงานและโปรแกรมงานขาดสาระที่สำคัญไปหรือเกินความเป็นจริง

4. การออกแบบระบบงานผิดพลาด ทั้ง ๆ ที่มีรายละเอียดความต้องการของผู้ใช้ข้อมูลและด้านเทคนิคครบถ้วน สาเหตุประการหนึ่งเนื่องมาจากการใช้วิจารณญาณที่ต่างกันของผู้ออกแบบระบบงานแต่ละคน

5. พนักงานที่มีส่วนในการออกแบบระบบงานไม่มีความสามารถ หรือในกรณีที่ซื้อโปรแกรมสำเร็จรูปมาใช้งาน ก็ได้มีการ Modify และ/หรือ Customize ระบบงานหลักที่ต้องมีการปรับเปลี่ยนกระบวนงานปฏิบัติงานของโปรแกรมหลักให้สอดคล้องกับการปฏิบัติงานแบบเดิม ๆ ที่ผู้ใช้เคยชิน

6. ผู้วิเคราะห์ระบบงานและผู้เขียนโปรแกรมออกแบบระบบงานและโปรแกรมตามความพอใจของตนเอง โดยไม่คำนึงถึงผู้ใช้ข้อมูลซึ่งเป็น เจ้าของระบบงาน หรือคิดว่าตนเองเข้าใจความต้องการดีกว่าผู้ใช้ข้อมูลเอง จนบางครั้งการออกแบบระบบงานที่ยากเกินความสามารถของผู้ใช้ข้อมูลหรือ

ในกรณีองค์กรซื้อโปรแกรมสำเร็จรูปมาใช้งาน แต่ผู้ใช้ไม่เข้าใจ “function” การทำงานต่าง ๆ ดีพอ จึงมีความพยายามในการ “Modify” และ/หรือ “Customize” ระบบงานใหม่

7. การสื่อสารความเข้าใจระหว่างฝ่ายพัฒนาระบบงาน ฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูงอยู่ในสภาพที่ใช้ไม่ได้ หรือต้องปรับปรุงอีกมาก

8. ไม่ได้วางหลักเกณฑ์ไว้ว่าเมื่อใดจึงควรจะหยุดการพัฒนาระบบนั้นได้แล้ว เช่น การคาดคะเนค่าใช้จ่ายไว้ต่ำเกินไปมาก ความต้องการของหน่วยงานเปลี่ยนแปลงไป หรือมีกฎหมายใหม่ ๆ เกิดขึ้น จะมีผลทำให้ได้รับผลประโยชน์ไม่คุ้มกับค่าใช้จ่ายที่เสียไป

9. มีช่องทางล่อใจให้พนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานบางคนพยายามสร้างวิธีการคดโกงหรือทำลายระบบงานนั้นระหว่างการพัฒนาระบบงาน เช่น ผู้เขียนโปรแกรมอาจเขียนบางส่วนของโปรแกรมให้สามารถล่วงล้ำการควบคุมของโปรแกรมระบบงานอื่นเพื่อประโยชน์ของตนเอง โดยวิธีนี้ผู้เขียนโปรแกรมไม่จำเป็นต้องเข้าไปในศูนย์คอมพิวเตอร์ก็สามารถฉ้อฉลข้อมูลได้

10. ระบบงานซึ่งไม่สามารถปรับปรุงแก้ไขทางด้านเทคนิคหรือทางด้านค่าใช้จ่ายให้เหมาะสมกับความต้องการขององค์กรที่เปลี่ยนแปลงไป ซึ่ง เท่ากับเป็นการบีบบังคับหรือกดให้องค์กรอยู่ในสภาพเช่นนั้นตลอดไม่สามารถปรับตัวให้ทันต่อสภาวะแวดล้อมที่เปลี่ยนแปลงไป

11. 1) แนวความคิดและความเข้าใจของพนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานแต่ละคนแตกต่างกัน ทำให้ผลลัพธ์ที่ได้ไม่บรรลุเป้าหมาย
2) ไม่เข้าใจในภาพรวมถึงผลกระทบของการเปลี่ยนแปลง รวมทั้งการไม่เชื่อมโยงความสัมพันธ์ของผลกระทบต่าง ๆ จากการเปลี่ยนแปลงไว้ด้วยกันทั่วทั้งองค์กร

ความเสียหายที่อาจเกิดขึ้นได้
1. สูญเสียค่าใช้จ่ายเกินความจำเป็น เนื่องจากการพัฒนาระบบงานไม่คุ้มค่า (Unjustified systems) และไม่ก่อให้เกิดประโยชน์ต่อการ แข่งขันในทางธุรกิจอันเนื่องมาจากการพัฒนาระบบงานที่มิได้สนองตอบความต้องการขององค์กรที่สอดคล้องกับการเปลี่ยนแปลง

2. นอกจากจะสูญเสียค่าใช้จ่ายและไม่ก่อให้เกิดประโยชน์ทางด้านการแข่งขันแล้ว ยังทำให้ฝ่ายบริหารขององค์การตัดสินใจผิดพลาดด้วยจากระบบงานที่ไม่เอื้ออำนวยให้มี “สารสนเทศ” ที่เหมาะสมเพื่อการบริหารและการจัดการที่ดีด้วย

3. สูญเสียค่าใช้จ่ายและทำให้ฝ่ายบริหารตัดสินใจผิดพลาดได้ในขั้นตอนที่สำคัญ ๆ ซึ่งจะมีความเสียหายตามมาจากความเสี่ยงต่าง ๆ ที่เกิดขึ้นได้อีกมาก

4. การบันทึกข้อมูลทางบัญชีผิดพลาดจาก Logic หรือใช้ระบบการบัญชีที่ไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาดหรือเสียค่าใช้จ่ายในการประมวลผลเกินความจำเป็น

5. การบันทึกข้อมูลทางบัญชีผิดพลาดหรือระบบบัญชีไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาดหรือเสียค่าใช้จ่ายเกินความจำเป็น โดยเฉพาะการ Up-date ระบบงานหลักในภายหลัง โดย Supplier ไม่อาจดำเนินการได้ตามมาตรฐานที่ควรจะเป็นหากมีการ Modify/Customize โปรแกรมหลัก ๆ

6. สูญเสียค่าใช้จ่ายในการพัฒนาระบบงานโดยไม่ได้รับผลประโยชน์ใด ๆ เนื่องจากผู้ใช้ข้อมูลไม่สามารถปฏิบัติงานตามที่ออกแบบไว้ได้ ทำให้ระบบงานนั้นถูกละเลยโดยสิ้นเชิง หรือทำให้การประกอบธุรกิจขององค์กรชะงักงันได้

สำหรับความเสียหายที่เกิดจากการ “Modify” และ/หรือ การ “Customize” นั้นก็อาจเกิด “จุดอ่อน” ตามมาได้มากมายและเกินกว่าที่ผู้บริหารและ Users จะคาดคะเนได้

7. 1) การตัดสินใจผิดพลาด
2) ผลตอบแทนการพัฒนา
3) ระบบงานใหม่ไม่คุ้มค่า
4) เสียประโยชน์จากการแข่งขัน
5) การประมวลผลหยุดชะงัก
6) ค่าใช้จ่ายมากเกินไป
7) การทุจริต
8) การประมวลผลผิดพลาด
9) การบันทึกบัญชีไม่ถูกต้อง

8. 1) สูญเสียค่าใช้จ่ายไปโดยไม่ได้รับประโยชน์คุ้มค่า
2) ใช้ IT ไม่สอดคล้องกับความต้องการของธุรกิจ/องค์กร
3) ใช้ IT ไม่คุ้มค่า

9. 1) การบันทึกข้อมูลทางบัญชีผิดพลาดก่อให้เกิดการทุจริต หรือทรัพย์สินสูญหายหรือถูกทำลาย
2) อาจมีความเสียหายที่เกิดขึ้นได้ ตามที่กล่าวมาแล้วข้างต้น

10. 1) สูญเสียค่าใช้จ่ายโดยไม่ได้รับประโยชน์คุ้มค่าและอาจต้องพัฒนาระบบงานขึ้นใหม่ทั้งหมด แทนที่จะเปลี่ยนแปลงเพียงบางส่วน ซึ่งจะทำให้เสียค่าใช้จ่ายเพิ่มมากขึ้น
2) เกิดปัญหาซ้ำซาก ทำให้องค์กรตกอยู่ในวังวนของปัญหาต่างๆ
3) ปัญหาอื่น ๆ ตามที่ได้กล่าวมาแล้วเกือบทุกข้อ

11. 1) การบันทึกข้อมูลทางบัญชีอาจผิดพลาดสูญเสียค่าใช้จ่ายไปโดยไม่ได้รับผลประโยชน์คุ้มค่า และยังอาจทำให้ธุรกิจขององค์กรชะงักงันได้
2) การไม่เข้าใจผลกระทบของเทคโนโลยีสารสนเทศในภาพโดยรวม อาจก่อให้เกิดความเสียหายต่าง ๆ ได้ ตามที่ได้สรุปมาในข้อต้น ๆ ได้ทั้งหมด

ครั้งหน้าไปต่อในส่วนของการจัดการและการควบคุมจุดอ่อนของการพัฒนาระบบงานด้านเทคโนโลยีสารสนเทศบางประการกันครับ

 

Control Self Assessment – CSA กับการควบคุมความเสี่ยงจากการทุจริตและบทบาทของผู้บริหาร

มีท่านผู้อ่านจำนวนหนึ่งกำลังติดตามความคืบหน้าของการเปิดเผยข้อมูล จากการทุจริตของสถาบันการเงินต่าง ๆ ที่อยู่ระหว่างการเปิดเผยของผู้บริหารระดับสูงขององค์กรเหล่านั้น ซึ่งท่านผู้อ่านอาจจะติดตามได้โดยตรง สำหรับผมเพียงแต่จะให้ข้อสังเกตบางมุมมองของการป้องกันความเสี่ยงในเชิงรุก และการติดตามช่องว่างที่เป็นจุดเปิดที่อาจก่อให้เกิดการทุจริตได้ (Exposure) โดยให้หน่วยงานที่เกี่ยวข้องกับสถาบันการเงินต่าง ๆ ร่วมกับสถาบันการเงินนั้น ๆ ทำการประเมินตนเองว่าองค์กรของตนมีความพร้อม หรือมีจุดอ่อนอะไรบ้าง ที่อาจเกิดจาก People Risk – P, Process Risk – P, และ Technology Risk – T ซึ่งเป็นองค์รวมหลักของ Operational Risk ของทุกองค์กร

สำหรับวันนี้ ผมขอ update ข้อมูลซึ่งหลุดหายไปจากระบบ จากการที่ผมได้เล่าสู่กันฟังเมื่อวันที่ 6 มิถุนายน 2552 ผมขอเริ่มต้นใหม่ที่มีเนื้อหาไม่แตกต่างกับหลักการเดิมที่ได้ให้ข้อสังเกตไปแล้ว โดยเน้นเทคนิคการตั้งคำถาม เพื่อหาคำตอบ และตั้งคำถามใหม่จากคำตอบนั้น ๆ จนบรรลุเป้าหมายการทำ CSA ตามที่ต้องการ ลักษณะการทำ CSA ที่จะกล่าวในวันนี้ จะเน้น Control – Based เป็นหลัก จากหลักการทำ CSA ซึ่งอาจมีได้หลายรูปแบบด้วยกันก็คือ Objective – Based, Risk – Based, Process Based, Situational Based หรือ Sceanario – Based สำหรับการทำ CSA ที่นอกเหนือจาก Control – Based จะนำมาเล่าสู่กันฟังในโอกาสต่อ ๆ ไป

แนวความคิดเพื่อสร้างความเข้าใจของกระบวนการทุจริตที่อาจเริ่มต้นจากกฎหมาย นโยบาย ++

แนวความคิดเพื่อสร้างความเข้าใจของกระบวนการทุจริตที่อาจเริ่มต้นจากกฎหมาย นโยบาย ++

คำถามบางประการในการทำ CSA แบบ Control – Based มีดังนี้

ระบบงานคอมพิวเตอร์ที่ควรทราบเบื้องต้น
– องค์กรใข้คอมพิวเตอร์ระบบ Centralize On-Line / ระบบรวมศูนย์ แบบOn-Line หรือระบบ Decentralize/ระบบกระจายศูนย์ (ซึ่งจะมีผลต่อกระบวนการทำงาน การบริหารความเสี่ยง การควบคุมภายในและ กระบวนการตรวจสอบที่แตกต่างกันไป +++ (อาจมีคำถามต่อเนื่องได้อีกมาก)

ผมมีข้อสังเกตเบื้องต้นว่า เมื่อระบบงานขององค์กรส่วนใหญ่ใช้คอมพิวเตอร์เข้าช่วยในการประมวลผล เช่น สถาบันการเงินหรือองค์กรใดก็ตามที่มีการประมวลผลโดยใช้คอมพิวเตอร์เป็นหลัก กระบวนการควบคุมต่างๆก็ใช้ระบบคอมพิวเตอร์เป็นหลัก หลักฐาน++ก็ล้วนเป็น Digital เป็นส่วนใหญ่ ซึ่งต้องการร่วมมือและประสานงาน อย่างใกล้ชิดระหว่าง IT Auditor & Non-IT Auditor ดังเช่นกรณีศึกษา ของการทุจริต VSRS

แนวความคิดและกระบวนการตรวจสอบเปลี่ยนแปลงไปอย่างสิ้นเชิงนั้น การตั้งคำถามเพื่อประเมินการควบคุมภายใน จากการบริหารความเสี่ยงอย่างเป็นกระบวนการ น่าจะได้ผลอย่างจำกัด ถ้าไม่มีความร่วมมืออย่างใกล้ชิด ระหว่าง IT Auditor & Non-IT Auditor อย่างเป็นกระบวนการและเข้าใจจริงของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์

ในวันนี้ผมจะยังไม่ลงรายละเอียดในเรื่อง Process Risk และ Technology Risk ซึ่งเกี่ยวข้องกับกับการรวบรวมข้อมูล และจุดอ่อนในการดำเนินงาน ที่ก่อให้เกิดการทุจริตต่างๆในวงการสถาบันการเงิน แต่จะให้ข้อสังเกตทั่ว ๆไป ที่น่าจะมีการสอบถามเพื่อการประเมินตนเอง / CSA เกี่ยวกับความพร้อมในระบบงานเพื่อป้องกันการทุจริต ซึ่งควรจะเริ่มต้นด้วยการทำ CSA ด้าน IT เสมอ!

– ระบบคอมพิวเตอร์ที่ใช้อยู่ในปัจจุบันมีความเสถียรเพียงใด หรืออยู่ระหว่างการปรับเปลี่ยน Core Banking System- CBS ที่ยังไม่เสถียรและมีปัญหา++++ (อาจมีคำถามต่อเนื่องได้อีกมากและมีผลต่อการประเมินความเสี่ยง การควบคุมภายใน หลักฐานและกระบวน การตรวจสอบตามมา)
-องค์กรมีนโยบายและบทลงโทษการทุจริต และมีการกำหนด Risk Appetite & Risk Tolerance จากการทุจริตภายในและภายนอกชัดเจน ถูกต้องตามหลักการ ERM
-มีหลักฐานการตรวจสอบการปฎิบัติตามนโยบาย และระเบียบข้อบังคับที่กำหนด
– องค์กรมีการทดสอบ ระเบียบห้ามพนักงานรับฝากสมุดคู่ฝากของลูกค้า และห้ามหรือให้ทำรายการถอนเงินโดยไม่มีสมุดคู่ฝากอย่างมีเงื่อนไข ที่ควบคุมได้โดยระบบ IT & Non-IT
– องค์กรมีระเบียบห้ามพนักงานทำรายการฝากถอนเงินแทนลูกค้า และมีระบบติดตาม
– องค์กรมีการติดตามและตรวจสอบ การกำหนดวงเงิน อำนาจ ในการทำรายการฝากถอน และโอนเงินของพนักงาน Teller อย่างเหมาะสม มีหลักฐานและรายงานชัดเจน
– องค์กรมีระเบียบปฏิบัติในการเปิดปิดเครื่อง Terminal การกำหนดช่วงเวลาในการเปิดปิดเครื่อง และการหยุดใช้งาน หรือเปลี่ยนแปลง Teller ประจำเครื่องระหว่างวัน
– องค์กรมีการทดสอบและตรวจสอบระเบียบการปฏิบัติงานเกี่ยวกับการใช้รหัสหรือบัตรผ่านแสดงตัวผู้ปฏิบัติงาน รหัสผ่านหรือรหัสอนุมัติรายการ รวมถึงกรณีมีการปฏิบัติงานทดแทนกัน เช่น ห้าม Authorize แจ้งรหัสผ่านให้ผู้อื่นทราบ และกำหนดให้เปลี่ยนรหัสที่เหมาะสม
– องค์กรมีการติดตามและตรวจสอบ การควบคุมเอกสารที่เกี่ยวกับเงินฝาก เช่น ใบคำขอเปิดบัญชี บัตรลายมือชื่อ ใบรับฝาก (NCD) สมุดคู่ฝากที่ยังไม่ได้ใช้อย่างรัดกุม โดยมีการกำหนดตัวผู้ดูแลรักษา เอกสารมีการ Running Number มีทะเบียนคุม มีการตรวจสอบบัญชีที่เปิดใหม่กับสมุดเงินฝากที่ถูกเบิกใช้ให้ตรงกันทุกวัน และตรวจนับสมุดคู่ฝากทุก 6 เดือน
– องค์กรมีระเบียบ หรือคำสั่ง ห้ามนำเอกสารที่เกี่ยวกับเงินฝากไปรับฝากนอกสถานที่ทำการเว้นแต่ได้รับอนุญาตจากผู้จัดการสาขาหรือผู้มีอำนาจที่เกี่ยวข้อง
– องค์กรจัดให้มีการติดตามและตรวจสอบ การทำรายการฝาก ถอนเงินสดหรือการโอนเงินเกินอำนาจ Teller ต้องมีผู้มีอำนาจอนุมัติรายการและต้องอนุมัติรายการด้วยตนเองไม่มีการให้ยืมบัตรผ่านรายการหรือบอกรหัสผ่านให้ทราบ รวมทั้งมีการกำหนดวงเงินสดที่ Teller สามารถถือครองได้ระหว่างวัน และมีหลักฐานรวมทั้งรายงานการตรวจสอบที่เกี่ยวข้อง
– องค์กรจัดให้มี การสุ่มบัญชีเงินฝากเพื่อส่งใบยืนยันยอดเงินฝากทุกประเภทเป็นครั้งคราว หรืออย่างน้อยทุก 6 เดือน
– องค์กรจัดให้มีการควบคุมและการตรวจสอบ การระเบียบวิธีปฏิบัติเกี่ยวกับบัญชีที่ขาดการติดต่อ (unclaim) ไว้อย่างรัดกุมชัดเจน และอยู่ในการควบคุมดูแลของเจ้าหน้าที่บริหาร
– การแก้ไขรายการ การปรับปรุงรายการต่าง ๆ เช่น การยกเลิกรายการฝากถอน ควรมีการตรวจทาน ควบคุมและได้รับการอนุมัติจากผู้มีอำนาจ รวมทั้งมีรายงานเพื่อควบคุมตรวจสอบรายการที่มีการแก้ไข และติดตามผลกระทบที่เกิดขึ้นจากการปฎิบัติดังกล่าว
– มีการตรวจสอบ การทำรายการโอนเงินถึงความถูกต้องของข้อมูลและเอกสาร รวมทั้งการอนุมัติรายการ หากมีรายการต้องสงสัย และมีระเบียบให้รายงาน ปปง.ทราบ
– องค์กรจัดให้มีมีระเบียบ วิธีปฏิบัติเกี่ยวกับการจัดเก็บเอกสารสำคัญของลูกค้าเงินฝาก เช่น ตัวอย่างลายมือชื่อ คำขอเปิดบัญชี ไว้ในที่ปลอดภัย รวมทั้งมีผู้รับผิดชอบ
– องค์กรจัดให้มีระเบียบปฏิบัติให้พนักงานแนะนำลูกค้าเงินฝากเกี่ยวกับความปลอดภัยของเงินฝากและเงินเบิกเกินบัญชี
– องคืกรมีข้อกำหนดเกี่ยวกับการเปิดบัญชีเงินฝากของพนักงาน และการควบคุมดูแล
– มีระเบียบ ห้ามเจ้าหน้าที่อื่นที่ไม่ใช่ Teller มาทำหน้าที่ รับ-จ่ายเงินกับลูกค้า
– มีการพิสูจน์ความถูกต้องของการทำรายการเงินฝากของ Teller แต่ละคน และเงินฝากรวมของสาขา ณ สิ้นวัน โดยมีหลักฐานและการรายงานอย่างเหมาะสม

ความเข้าใจและการรวบรวมข้อมูลที่เกี่ยวข้องกับสภาพแวดล้อมและองค์ประกอบของการตรวจสอบการทุจริต

ความเข้าใจและการรวบรวมข้อมูลที่เกี่ยวข้องกับสภาพแวดล้อมและองค์ประกอบของการตรวจสอบการทุจริต

– เงินฝากที่มีภาระการคำประกัน ควรอายัดทั้งเงินต้นและดอกเบี้ย และมีระบบงานรวมทั้งมีข้อมูลการอายัดชัดแจ้ง และ มีการจัดทำทะเบียนเงินฝากที่มีภาระอย่างรัดกุม

– การปลด (Hold)ภาระเงินฝาก ต้องมีกระบวนการตรวจสอบว่าปลอดภาระจริง โดยเฉพาะเงินฝากที่ค้ำประกันสินเชื่อ เจ้าหน้าที่สินเชื่อจะต้องทำการยกเลิกวงเงินสินเชื่อก่อน และมีหัวหน้าสินเชื่อตรวจสอบความถูกต้อง และต้องได้รับอนุมัติจากผู้จัดการสาขา
– มีการกำหนดหลักเกณฑ์และระบบงาน เงินฝากที่ค้ำประกันสินเชื่อเป็นการค้ำประกันทั้งบัญชีเพื่อไม่ให้มีการมาถอนส่วนที่ปลอดภาระในภายหลัง รวมทั้งจัดให้มีการรายงานอย่างเหมาะสม

– มีการกำหนดให้รายการที่มีนัยสำคัญหรือเกินอำนาจอนุมัติต้องผ่านการอนุมัติจากผู้จัดการสาขาหรือผู้รับมอบอำนาจอย่างเหมาะสม
– ผู้จัดการสาขามีระบบงานที่ใช้ในการติดตามการปฏิบัติงานของสาขาสำหรับรายการที่สำคัญต่าง ๆ ที่เพียงพอเช่น

– รายการที่ทำโดยผ่านรหัสของผู้จัดการสาขา
– รายการที่เกิดขึ้นหรือการเข้าระบบงาน (Sign on) หลังเวลาทำการ
– รายงานการปรับปรุงดอกเบี้ย
– รายงานการทำรายการที่เกินอำนาจ Teller
– รายงานการแก้ไขรายการ
– รายการฝากถอนเงินที่เกิน 1 ล้านหรือที่สำนักงานใหญ่หรือสาขาไม่เกินข้อ กำหนด

– มีการทดสอบกล้องวงจรปิดครอบคลุมจุดสำคัญของสาขา เช่น ห้องมั่นคง และมีการตรวจเช็คการทำงานของเครื่องอย่างสม่ำเสมอ รวมทั้งมีการเก็บบันทึกข้อมูลเป็นระยะเวลาที่กฎหมายกำหนด และรายงานผลอย่างเหมาะสม
– จัดให้มีการกำหนดผู้รับผิดชอบเปิดปิดสาขา และควบคุมการใช้สถานที่ทำงานนอกเวลาทำการและการเข้าถึงเครื่องรับ-ส่งข้อมูล

– สำนักงานใหญ่ควรดูแลสาขามีการตรวจสอบการปฏิบัติงานของสาขาไตรมาสละ 1 ครั้ง เพื่อตรวจสอบความถูกต้องครบถ้วนของเอกสาร และนิติกรรมสัญญาของการฝาก-ถอนเงิน การอนุมัติรายการ การแก้ไขรายการต่างๆ
– ต้องมีระบบการติดตามการปฏิบัติงานของผู้จัดการสาขา เช่น การตรวจสอบรายการที่มีนัยสำคัญ โดยเฉพาะรายการการโอนเงินไปยังบัญชีเดียวกันไม่ว่าภายในธนาคารเดียวกันหรือต่างธนาคาร
– องค์กรควรจัดให้ผู้ตรวจสอบ มีการ Surprise Check พนักงาน Teller ในการปฏิบัติตามระเบียบ

การเปลี่ยนแปลงกระบวนความคิดเพื่อหาหลักฐานการตรวจสอบในการสร้างคุณค่าเพิ่ม รวมทั้งการตรวจสอบการทุจริต

การเปลี่ยนแปลงกระบวนความคิดเพื่อหาหลักฐานการตรวจสอบในการสร้างคุณค่าเพิ่ม รวมทั้งการตรวจสอบการทุจริต

– องค์กรควรจัดให้มีการตรวจสอบการปฏิบัติงานของเจ้าหน้าที่เกี่ยวกับการฝากถอนเงินให้เป็นไปตามระเบียบที่กำหนดข้างต้น และติดตามรายงานประจำวันโดยใกล้ชิด เอาใจใส่จริงจัง
– ตรวจสอบความถูกต้องของข้อมูลและการควบคุมความครบถ้วนของเอกสารสัญญาที่เกี่ยวกับการเปิดบัญชี และการฝาก-ถอนเงิน
– ตรวจสอบการเบิกใช้สมุดคู่ฝาก รวมทั้งการเก็บรักษาสมุดคู่ฝากที่ยังไม่ใช้
– ตรวจสอบการปฏิบัติหน้าที่แทนกันตามหลักเกณฑ์ที่กำหนดไว้
– มีการระบุเรื่องการตรวจสอบบัญชีพนักงานอยู่ในขอบเขตการตรวจสอบ
– มีระบบงานตรวจจับรายการผิดปกติ ทั้งในระบบ Manual และระบบ Automated เช่น
– การทำรายการฝากถอนบัญชีของพนักงานสาขา
– การฝากและถอนเงินเป็นจำนวนใกล้เคียงกันในลูกค้ารายเดียวกันในวันเดียวกัน
– การฝาก ถอน โอนเงิน จำนวนสูงในบัญชี ซึ่งไม่เคยเกิดรายการลักษณะนี้
– การฝากและถอนเงินต่างสาขาหลายสาขา หรือ หลายครั้งในวันเดียวกัน
– การฝากเงิน ถอนเงิน และการโอนเงินที่มีความถี่ผิดปกติ
– การทำรายการนอกเวลาทำการ
– การกำหนดและจัดทำ Business Rules เพื่อป้องกันการทุจริตโดยอาศัย Logic
ที่อาจเกิดกิจกรรมที่เป็นช่องเปิดของจุดอ่อนและการทุจริต( Exposure )ได้
โดยติดตามพฎติกรรม จากการใฃ้ เครื่อง Terminal ของพนักงานและผู้บริหาร
ซึ่งควรรวมกิจกรรมที่ผิดกฎหมายและ Compliance ต่างๆ และส่งรายงานอย่าง
เป็น ระบบ ก่อนที่จะมีปัญหาเกิดขึ้น
– จัดให้มีการสอบทานการบันทึกบัญชี การจ่ายดอกเบี้ย การยืนยันยอด การกระทบยอดบัญชี
– จัดให้มีการตรวจสอบดอกเบี้ยจ่ายที่สูงผิดปกติ หรือค่าธรรมเนียมรับที่เกี่ยวกับเงินฝากที่ต่ำผิดปกติเมื่อเทียบกับช่วงเวลาที่ผ่านมา หรือไม่สัมพันธ์กับยอดเงินฝาก
– เมื่อพบการทุจริตได้มีการตรวจสอบรายการลักษณะเดียวกันทั้งระบบ ในกรณีที่องค์กรใช้ระบบ Centralize On-line ก็อาจสรุปได้ทันทีว่าสำนักงานหรือสาขาอื่น ก็มีโอกาสที่จะกระทำการทุจริตได้เช่นกัน เพราะใช้ระบบงาน และกระบวนการทำงานแบบเดียวกัน
– มีช่องทางการรับเรื่องร้องเรียนจากลูกค้า รวมทั้งช่องทางที่ให้พนักงานธนาคารชี้เบาะแส โดยไม่เปิดเผยชื่อผู้ร้องเรียน
– มีการกำหนดหน่วยงานที่ทำหน้าที่ติดตาม ตรวจสอบ ดูแลเรื่องร้องเรียนอย่างชัดเจน และมีกำหนดเวลาดำเนินการไว้ชัดเจน (จะได้นำเสนอโดยละเอียดต่อไป)
– มีการกำหนดให้มีการสับเปลี่ยนเจ้าหน้าที่ปฏิบัติงานระหว่างสาขา เช่นสับเปลี่ยนหมุนเวียนผู้จัดการสาขาทั่วประเทศ
– มีข้อบังคับให้เจ้าหน้าที่หยุดพักผ่อนต่อเนื่องตามจำนวนวันที่องค์กรกำหนด
– มีวิธีการดูแลความเป็นอยู่หรือพฤติกรรมของพนักงาน
– มีบุคคลที่ชำนาญการและมีประสบการณ์คอยให้คำแนะนำเจ้าหน้าที่อื่น
– การกำหนดหน้าที่ Teller แยกจากพนักงานการเงิน และผู้ทำหน้าที่เปิดบัญชี
– มีระเบียบปฏิบัติและการควบคุม เกี่ยวกับการทำงานผ่านระบบงานนอกเวลาทำการ
– มีการฝึกอบรมพนักงานให้มีความตื่นตัว มีความรู้ และมีส่วนร่วมในการป้องกันการทุจริต รวมทั้งให้เบาะแสเมื่อมีการปฏิบัติผิดปกติเกิดขึ้นในสาขา
– มีข้อกำหนดบทลงโทษพนักงานที่รู้เห็นการกระทำทุจริตแล้วไม่แจ้งเบาะแส แม้จะไม่มีส่วนเกี่ยวข้องกับการกระทำทุจริตนั้น
– ผู้ตรวจสอบควรมีความรู้ในการตรวจสอบ Log-file
– ควรมีการประสานงานการตรวจสอบระหว่าง IT Auditor และ Non-IT Auditor อย่างใกล้ชิด
– ควรตรวจสอบและดูแล การใฃ้ Super Password และ Super ID อย่างใกล้ชิดและด้วยความเข้าใจจริงถึงผลการใช้ รหัสพิเศษ ว่าทำให้องค์กรเสียหายได้อย่างคาดไม่ถึง

กรอบแนวการทำ CSA ดังกล่าวข้างต้น อาจใช้เป็นการประเมินตนเองเพื่อปรับปรุงการบริหารความเสี่ยงและการควบคุมภายในให้ดีขึ้นได้บางส่วน ทั้งก่อนและหลังจากที่องค์กรมีปัญหาได้ในทั้ง 2 กรณี ทั้งนี้ขึ้นกับวัตถุประสงค์ในการทำ Control Self Assessment – CSA และการทำ CSA ดังกล่าวก็มีประโยชน์กับทั้งผู้บริหาร และทั้งผู้ตรวจสอบภายในเป็นอย่างยิ่ง หากผู้อำนวยความสะดวก (Facilator) เข้าใจในกระบวนการบริหารความเสี่ยง การควบคุมภายในของหน่วยงานของตน ที่สัมพันธ์กับเป้าประสงค์และกลยุทธ์ระดับองค์กรเป็นอย่างดี มิฉะนั้นการทำ CSA ก็จะไม่ได้ผลเท่าที่ควร และจะมีปัญหาแบบลูกโซ่ต่อไปไม่มีที่สิ้นสุด

ประเด็นที่น่าเป็นห่วงที่สุดก็คือ การทำ CSA ภายในระดับสายงานหรือระดับฝ่ายงาน หรือ Business Unit ผู้ดำเนินการไม่เข้าใจกระบวนการทำงาน และกิจกรรมที่เกี่ยวข้องกับ Business Process ระดับองค์กร ซึ่งรวมถึงกระบวนการที่เกี่ยวข้องกับการจัดการเทคโนโลยีสารสนเทศ ทั้งในระดับสายงานของตนและในระดับองค์กร เท่าที่ควรจะเป็น ทำให้การระบุกิจกรรมที่ก่อให้เกิดความเสี่ยงที่ต้องการควบคุม ทั้งในระดับสายงาน ซึ่งมีความสัมพันธ์กันอย่างใกล้ชิดกับระดับองค์กร เพื่อก้าวไปสู่ Business Objective ขององค์กรนั้นไม่ได้ผลเท่าที่ควร

ในครั้งต่อไป ผมจะพูดถึงเรื่องการตรวจสอบการทุจริต หลังจากนั้นแล้วผมจะนำเสนอเรื่องวิธีการประเมินตนเองเพื่อการบริหารความเสี่ยงและการควบคุมภายใน (CSA – Control Self Assessment) ที่เป็นรายละเอียดมากขึ้น เพื่อนำไปสู่การปฏิบัติที่เป็นรูปธรรมได้ในที่สุด

 

การทุจริตของสถาบันการเงินต่าง ๆ โดยใช้ IT & Non – IT และการประเมินตนเอง(CSA)เพื่อการบริหารความเสี่ยง ของผู้บริหาร

ผมต้องขออภัยสำหรับผู้ที่ติดตามในหัวข้อนี้ เนื่องจากผมได้ update ข้อมูลไปเมื่อวันที่ 6 มิถุนายน 2552 และได้มีการปรับปรุงแก้ไขเนื้อหาเพียงเล็กน้อย ในวันที่ 7 มิถุนายน 2552 หลังจากทำการ post เนื้อหาขึ้นเว็บ ปรากฎว่าไม่พบเนื้อหาที่แก้ไข รวมถึงเนื้อหาเดิมก่อนทำการแก้ไขแล้ว ซึ่งผมเข้าใจว่าอาจเกิดปัญหาทางด้านเทคนิคบางประการ และเช้าวันนี้ ซึ่งเป็นวันที่ 8 มิถุนายน 2552 ก็ยังมีปัญหาใน Article นี้อยู่ ซึ่งผมจะพยายามดำเนินการต่อไปครับ