Posts Tagged "ผลการสอบกรณีทุจริตของ ธอส."

ผลสอบการทุจริต กรณียักยอกเงิน 500 ล้านบาท ของ ธอส.

ครั้งที่แล้วผมได้ทิ้งท้ายไว้ว่าจะมาพูดถึงเรื่องของผลสอบการทุจริต กรณียักยอกเงิน 500 ล้านบาท ของ ธอส. ที่ได้ตีพิมพ์ลงในหนังสือพิมพ์รายวันฉบับหนึ่ง โดยมีรายละเอียดเกี่ยวกับข้อเท็จจริงของผู้ทุจริตและการทุจริต รวมทั้งวิธีการทุจริตและสาเหตุที่ทำให้ผู้ทุจริตกระทำการทุจริตดังกล่าว ซึ่งผมมองว่ากรณีนี้น่าจะเป็นกรณีศึกษาที่สะท้อนให้เห็นภาพของการตรวจสอบ การทุจริต และการบริหารความเสี่ยง ตามที่ผมเคยได้กล่าวไว้ในครั้งก่อน ๆ ได้เป็นอย่างดี เราไปดูในรายละเอียดของผลการสอบที่ว่านี้กันดีกว่าครับ

ต่อจากนี้ไปเป็นรายงานผลสอบสวนของคณะกรรมการตรวจสอบข้อเท็จจริงชุดที่มี น.ส. โสภาวดี เลิศมนัสชัย เป็นประธานการตรวจสอบ ซึ่งได้ชี้ให้เห็นถึงจุดที่ผิดพลาดอย่างละเอียด รวมถึงการป้องกันปัญหาของธนาคารภายหลังที่เกิดเรื่อง

ประเด็นคำถามที่จะช่วยในการตรวจสอบ

ข้อเท็จจริงเกี่ยวกับผู้ทุจริตและการทุจริต
ประวัติผู้ทุจริต นายสมเกียรติ ปัญญาวรคุณเดช ตำแหน่งพนักงานธุรกิจสาขาอาวุโส เกรด 7 สาขาเซ็นหลุยส์ 3 อายุ 33 ปี ปฏิบัติงานเจ้าหน้าที่การเงินที่สาขาเซ็นหลุยส์เพียงสาขาเดียวเป็นเวลา 9 ปี ตั้งแต่วันที่ 1 ก.ย. 2542 ถึงปัจจุบัน จำนวนเงินที่ทุจริต 499,272,777.95 บาท โดยมีระยะเวลาที่ทำการทุจริต ตั้งแต่วันที่ 8 พ.ย. 2550 – 20 เม.ย. 2552

วิธีการทุจริตมี 2 แบบ ง่าย ๆ ไม่มีอะไรซับซ้อน
1. การปลอมสลิปถอนเงินจากบัญชีลูกค้า โดยการปลอมสลิปถอนเงินจากบัญชีเงินฝากประจำลูกค้าราย นางเล่งบ่าย รงคพรรณ จำนวน 2 บัญชี รวม 6 รายการ จำนวนเงินรวม 36.50 ล้านบาท ซึ่งเป็นการทำทุจริตระหว่างวันที่ 8 พ.ย. 2550 ถึงวันที่ 23 ม.ค. 2551

2. การสร้างรายการค่าใช้จ่ายประเภทบัญชีดอกเบี้ยจ่ายเงินฝากประจำของสำนักพระราม 9 และสาขาเซ็นหลุยส์ 3 จำนวน 419 รายการ จำนวนเงินรวม 499.27 ล้านบาท ทั้ง ๆ ที่ นายสมเกียติ ไม่มีเงินฝากประจำที่สาขาทั้ง 2 แห่งแต่อย่างใด และในขณะเดียวกัน นายสมเกียรติ ก็สร้างรายการฝากเงินเข้าบัญชีของตนเอง หรือผู้ที่เกี่ยวข้องในจำนวนเดียวกับดอกเบี้ยเงินฝากประจำที่สร้างขึ้นดังกล่าวข้างต้น ซึ่งเป็นการทำการทุจริตในช่วงหลัง Go Live โดยเริ่มตั้งแต่วันที่ 20 ก.พ. 2551 ถึง 20 เม.ย. 2552

สาเหตุที่ทุจริตได้สำเร็จ
1. นายสมเกียรติทำการปลอมเอกสารสลิปถอนเงินจากบัญชีเงินฝากของลูกค้า นอกจาก นายสมเกียรติ ที่เป็นผู้ทุจริตแล้ว พนักงานและผู้บริหารในสาขาละเลยไม่ระมัดระวังในการเก็บรักษารหัสส่วนตัว (Password) ให้เป็นความลับ ทำให้ นายสมเกียรติ นำไปใช้ Override รายการกระทำการทุจริตได้ ตลอดจนไม่ตรวจสอบรายงานการอนุมัติเกินอำนาจในวันรุ่งขึ้น จึงไม่พบความผิดปกติในการใช้ Password อนุมัติรายการจนเป็นเหตุสามารถทุจริตได้เป็นเวลานาน

2. นายสมเกียติทำการทุจริต โดยเข้าไปสร้างรายการดอกเบี้ยจ่ายในระบบบัญชี GL ของธนาคารได้จำนวน 499.27 ล้านบาท โดยมีปัจจัยมาจาก 2 ประการ คือ

ประการแรก ระบบงานโดยเฉพาะหน้าจอ (MENU) ที่ใช้ในการปรับปรุงดอกเบี้ยจ่ายและการทำรายการข้ามสาขาเปิดให้พนักงานทุกระดับ (Work Class) สามารถทำรายการได้ในบัญชี GL ของธนาคาร โดยไม่มีการอนุมัติผ่านรายการ (Verify) ซึ่งเป็นปัจจัยที่ช่วยให้ นายสมเกียรติ สามารถเข้าไปทำรายการดอกเบี้ยจ่ายในระบบงานบัญชี GL ของธนาคารได้

ประการที่ 2 สาขาของบัญชีดอกเบี้ยจ่ายไม่ตรวจสอบงบทดลองประจำวัน ซึ่งเป็นปัจจัยที่ช่วยให้ นายสมเกียรติสามารถทุจริตได้ต่อเนื่องเป็นเวลานาน ซึ่งทำให้มีมูลค่ารวมเสียหายสูง

วิธีการตรวจสอบระบบงาน

จากปัจจัย 2 ประการข้างต้น คณะกรรมการสามารถสรุปได้ คือ
1. ระบบงานโดยเฉพาะหน้าจอที่ใช้ในการปรับปรุงดอกเบี้ยจ่าย และการทำรายการข้ามสาขา หรือ MENU HXFER เปิดให้พนักงานทุกระดับสามารถทำรายการได้ในบัญชี GL ของธนาคาร โดยไม่มีการ Verify มีสาเหตุมาจาก

1.1. ธนาคารไม่ได้กำหนดสิทธิในการเข้าถึง MENU HXFER ทั้งที่เมนูดังกล่าวสามารถเชื่อมโยงกับงานบัญชี GL ของธนาคาร เนื่องจาก Architecture ของ CBS ระบบเก่าและใหม่แตกต่างกันอย่างมีสาระสำคัญ คือ ในระบบใหม่ได้รวมระบบ GL เข้าไว้ในระบบ ในขณะที่ระบบเดิมแยกระบบ GL ออกต่างหาก ซึ่งผู้ที่เกี่ยวข้องรับทราบประเด็นความแตกต่างดังกล่าว หากแต่ไม่ได้ตระหนักถึงความเสี่ยง หรือโอกาสที่จะก่อให้เกิดความเสียหาย หากไม่มีระบบการควบคุมที่เหมาะสม

1.2. ภายหลังจากการ Go Live แล้ว ธนาคารประสบปัญหาในการให้บริการ โดยเฉพาะธุรกรรมเงินฝาก ซึ่งระบบคิดดอกเบี้ยเงินฝากประจำที่จ่ายให้ผู้ฝากผิด จึงได้นำ MENU HXFER มาใช้ในการปรับปรุงรายการดอกเบี้ยจ่าย

1.3. ธนาคารได้กำหนดการปิดระบบของสาขา จะเป็นการปิด เปิดระบบจากส่วนกลางพร้อมกันทุกสาขา ซึ่งจะปิดระบบภายหลังจากที่เคาน์เตอร์การเงินปิดให้บริการแล้วในเวลาประมาณ 20.00 น. จึงเปิดโอกาสให้ นายสมเกียติ สามารถเข้าไปทำรายการทุจริตนอกเวลาทำการ

2. สำนักงานพระราม 9 และสาขาเซ็นหลุยส์ 3 ซึ่งเป็นเจ้าของบัญชีดอกเบี้ยจ่าย ไม่ได้ตรวจสอบงดทดลองประจำวัน มีสาเหตุจาก

2.1. ผู้ที่มีหน้าที่รับผิดชอบบริหารสาขาและผู้ที่ตรวจสอบบัญชีสาขาไม่ปฏิบัติหน้าที่ คือ ไม่ตรวจสอบรายงานทดลองประจำวัน หรือรายงานที่เกี่ยวข้อง ไม่ควบคุมดูแลการกระทบยอดประจำวัน ไม่ได้บริหารจัดการสาขา ควบคุม กำกับ ดูแลงบการเงินของตน กรณีเกิดความผิดปกติในงบการเงินเกี่ยวกับดอกเบี้ยจ่าย ถือเป็นค่าใช้จ่ายสำคัญของสำนักงานพระราม 9 และสาขาเซ็นหลุยส์ 3 อย่างมีสาระสำคัญให้ครบถ้วนตามที่ธนาคารกำหนด

2.2. ผู้ปฏิบัติไม่ได้รับการชี้แจงวิธิการปฏิบัติงานที่ถูกต้อง ครบถ้วนและไม่ได้รับการอบรมในเรื่องระบบ GL เพื่อให้ดูหัวบัญชีดอกเบี้ยจ่าย ซึ่งจากการสอบถามผู้ปฏิบัติก็ให้การยืนยันตรงกันว่าไม่ได้ดูหัวบัญชีดอกเบี้ยจ่าย อีกทั้งธนาคารไม่มีการฝึกอบรมผู้บริหารสาขาเพื่อเตรียมความพร้อมที่จำเป็นพื้นฐานในการบริหารสาขา

2.3. คู่มือปฏิบัติงานไม่มีความสมบูรณ์ในเรื่องการกระทบยอดงบทดลองประจำวัน และไม่ได้ปรับปรุงระเบียบที่เกี่ยวข้องกับบัญชี GL คือก่อน Go Live ธนาคารไม่ได้ปรับปรุงคู่มือปฏิบัติงานในเรื่องนี้ ต่อมาภายหลัง Go Live ก็ได้มีการปรับปรุงคู่มือการปฏิบัติงานเพื่อแก้ไขปัญหาที่ไม่สามารถปิดงบทดลองได้ลงตัว แต่ไม่มีคู่มือกระทบยอดรายวันเพื่อกระทบหัวบัญชีดอกเบี้ยจ่าย เนื่องจากเข้าใจว่าระบบจะประมวลผลตัวเลขที่ถูกต้อง ซึ่งสอดคล้องกับคำให้การของหัวหน้าบริหารจัดการสาขา

2.4. รายการสำคัญที่ใช้ในการกระทบยอดรายวัน ไม่อำนวยให้ผู้ปฏิบัติสามารถทำงานได้อย่างมีประสิทธิภาพ คือ รายงานที่ใช้กระทบยอดและตรวจสอบรายวันในระบบใหม่จะใช้รายงานรายการเกี่ยวกับตรวจเช็คต่าง ๆ ซึ่งเทียบได้กับรายงานในระบบเดิม 8 รายงาน และรายงานที่ใช้ตรวจประจำวัน ซึ่งเทียบกับรายงานระบบเดิม 5 รายงาน โดยปริมาณหน้าแต่ละวันของสำนักงานพระราม 9 มีมากกว่าพันหน้า ซึ่งรายงานดังกล่าว ได้รวมทั้งรายการที่เกิดขึ้นตามปกติและรายการที่ไม่ปกติ เช่น รายการที่มีการปรับปรุง การทำข้ามสาขาเข้าไว้ในรายงานเดียวกัน จึงทำให้เป็นการยากที่จะใช้เป็นเครื่องมือในการตรวจสอบ

 

ผลการสอบทุจริต “ธอส.” และข้อสังเกตในการบริหารความเสี่ยงเมื่อเทียบกับความเสียหายที่เกิดขึ้น ในบางมุมมอง

ก่อนผลการสอบข้อเท็จจริงกรณีการทุจริตที่ ธอส. จะเปิดเผยทางสื่อมวลชน ผมได้เคยกล่าวถึงกรณีทุจริตที่ ธอส. โดยกล่าวถึงหลักการกว้าง ๆ ว่า การทุจริตทุกประเภทมีเพียง 3 ประเด็นเท่านั้นที่ให้พิจารณา ก็คือ คน + กระบวนการทำงาน + เทคโนโลยี ที่ใช้คำย่อ ๆ ว่า PPT – People – Process – Technology

การประเมินตนเองของผู้บริหารในมุมมองของการควบคุม Operational Risk และ Business Risk

การประเมินตนเองของผู้บริหารในมุมมองของการควบคุม Operational Risk และ Business Risk

ผมขอทบทวนภาพที่คิดว่ามีคุณค่าอย่างยิ่ง สำหรับคณะกรรมการ รวมทั้งคณะกรรมการตรวจสอบของทุกองค์กร และอาจรวมถึงคณะกรรมการสอบสวนข้อเท็จจริง หากจะได้เห็นภาพที่ผมเคยแสดงไว้แล้ว และขอนำมาแสดงซ้ำอีกครั้ง เพื่อให้เกิดความเข้าใจความเสี่ยงจาก PPT ซึ่งเป็นความเสี่ยงในการดำเนินงาน และความเสี่ยงในการบริหารของทุกองค์กร ที่มีน้ำหนักโดยเฉลี่ยประมาณร้อยละ 70 ของความเสี่ยงประเภทอื่น ๆ ในการบริหารงานทั้งหมดขององค์กร

เพราะความเสี่ยงจากการจัดการที่แท้จริงในทุกระดับของการบริหารก็คือ ความเสี่ยงในการปฏิบัติการ หรือความเสี่ยงในการดำเนินงาน ซึ่งแท้จริงแล้ว อาจจะเรียกได้ว่าเป็นความเสี่ยงในการบริหารงานโดยแท้ ที่เกิดจาก PPT ในภาพโดยรวม อาจอธิบายได้โดยแผนภาพ ดังนี้

วิวัฒนาการจากมุมมองของ Operational Risk พัฒนาสู่ Business Risk ที่เชื่อมต่อเข้ากับการ Design และการกำหนด Strategy ที่ต้องเข้าใจถึง Culture และการบริหารทางด้าน Architecture ระหว่าง PPT กับ Design/Strategy

วิวัฒนาการจากมุมมองของ Operational Risk พัฒนาสู่ Business Risk ที่เชื่อมต่อเข้ากับการ Design และการกำหนด Strategy ที่ต้องเข้าใจถึง Culture และการบริหารทางด้าน Architecture ระหว่าง PPT กับ Design/Strategy

คณะกรรมการสอบสวนกรณีการทุจริต ของ ธอส. อาจใช้ Model ดังกล่าวในการไต่สวนหาข้อมูล และสารสนเทศในส่วนที่เกี่ยวข้องกับ PPT + Strategy ตามแผนภาพข้างต้น โดยนำปัจจัยต่าง ๆ ตามที่ปรากฎในการเชื่อมโยง 4 ประเด็นหลัก ๆ ซึ่งจะเกี่ยวข้องกับการบริหาร Operational Risk และการบริหารองค์กร แบบสอดประสานและบูรณาการ ตามองค์ประกอบหลักที่เกี่ยวข้องที่เชื่อมโยงด้วยการบริหารความเสี่ยงที่เกี่ยวเนื่อง คือ การหลอมรวม (Emergence) การบริหารความเสี่ยงในทุกมุมมองที่เกี่ยวข้องกับ S-O-F-C และ การบริหารทรัพยากรบุคคล และกลไกหรือตัวขับเคลื่อน รวมทั้งการสนับสนุนด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพ

ตามที่กล่าวข้างต้นคือภาพแรกของ PPT ที่เกี่ยวข้องกับการบริหาร Emergence, Human Factors and Enabling & Support อย่างสอดประสานและเป็นบูรณาการ ซึ่งในแต่ละองค์ประกอบหลักและองค์ประกอบย่อย จะมีกิจกรรมต่าง ๆ ที่เกี่ยวข้องและสัมพันธ์กันอย่างมกาในการขับเคลื่อนความสำเร็จ เพื่อก้าวไปสู่การมีประสิทธิภาพและประสิทธิผลของการดำเนินงานขององค์กร และถ้าตรงกันข้ามก็คือ ความเสี่ยงที่อาจก่อให้เกิดความเสียหายและก่อให้เกิดการทุจริตในองค์กรได้

จากรูปภาพที่ 2 ท่านผู้ที่สนใจในเรื่องการบริหารความเสี่ยง ซึ่งเป็นส่วนหนึ่งในการขับเคลื่อน CG + ITG และเป็นองค์ประกอบหลักของ GRC ที่ผมเคยเล่าสู่กันฟังสั้น ๆ ไปแล้วก่อนหน้านี้หลายตอนนั้น ท่านกำลังจะเห็นคุณค่าจากความเข้าใจในการบริหารภายใต้ร่มของการกำกับดูแลกิจการที่ดี ควบคู่กันไปกับการบริหารสารสนเทศเพื่อการจัดการที่ดี ที่สามารถสร้างความเชื่อมั่น สร้างความน่าเชื่อถือให้กับผู้มีผลประโยชน์ร่วม (Stakeholders) อย่างกว้างขวาง นี่คือ Value Creation ของกระบวนการจัดการที่ทุกองค์กรสามารถก้าวไปสู่จุดนี้ได้อย่างมั่นใจ หากองค์กรของท่านมีความเข้าใจในกระบวนการบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ที่สามารถวัดคุณค่าเพิ่มได้จาก Intangible Assets และ Tangible Assets ซึ่งนับวันคุณค่าเพิ่มจากการบริหาร Intangible Assets จะมีบทบาทเพิ่มขึ้นอย่างมากในทุกองค์กร ขณะเดียวกันก็สร้างจุดอ่อนเป็นอย่างยิ่งให้กับหลายองค์กรที่ขาดความพร้อมทางด้านการบริหารและการจัดการ PPT อย่างแท้จริง

ในกรณี ธอส. หากจะมีการวิเคราะห์กระบวนการบริหารความเสี่ยง ตั้งแต่นโยบาย ลงมาถึงการปฏิบัติการและการตรวจสอบ ตามหลักการบริหารความเสี่ยงของกรอบ COSO – ERM อย่างน้อยก็จะพบกับข้อสังเกตและจุดอ่อนของกระบวนการทำงาน ที่ปรากฎในรายงานของ คณะกรรมการตรวจสอบข้อเท็จจจริงของ ธอส. ที่ปรากฎตามข่าวหนังสือพิมพ์ ซึ่งผมจะขอนำมาเปรียบเทียบพื่อการศึกษาให้แก่ท่านผู้ที่สนใจในครั้งต่อไป

จากแผนภาพที่ 2 ซึ่งเชื่อมโยงกระบวนการบริหารจัดการด้าน PPT ไปสู่กระบวนการออกแบบระบบ และการกำหนดกลยุทธ์ขององค์กรที่มีความเกี่ยวข้องกับข้อสังเกตของคณะกรรมการตรวจสอบข้อเท็จจริงของ ธอส. เป็นอย่างมาก ถึงกรณีระบบ CBS – Core Banking System ที่มีกระบวนการทำงาน (Process) ที่มีจุดอ่อนหลายประการผสมผสานกับบุคลากรที่ไม่จงรักภักดีต่อองค์กร รวมทั้งกระบวนการบริหารขององค์กรที่น่าจะปรับปรุงได้หลายประการนั้นเป็นต้นเหตุสำคัญ (Root Cause) ของการทุจริตใน ธอส. ทั้งสิ้น

จากแผนภาพข้างต้น หากทำเป็นกรณีศึกษา (Case Study) ก็จะพบประเด็นต่าง ๆ ที่มีกระบวนการบริหารความเสี่ยงที่ขาดดุลยภาพและคุณภาพในการจัดการ ตามหลักการของ COSO – ERM หลายประการ

ขอได้โปรดติดตาม ผลสอบการทุจริต กรณียักยอกเงิน 500 ล้านบาท ของ ธอส. ในตอนต่อไปนะครับ