Posts Tagged "Computer Fraud and Forensic Audit"

บางมุมมองเกี่ยวกับการสอบสวนและการตรวจสอบการทุจริตด้าน IT และ Non – IT

ผมตั้งใจที่จะออกความเห็นในเรื่องที่เกี่ยวข้องกับความร่วมมือของผู้ตรวจสอบ ระหว่าง IT Auditor กับ Non – IT Auditor กับการทุจริตว่า ผู้ตรวจสอบทั้ง 2 ประเภทนี้ ควรจะมีความร่วมมือกันอย่างไร โดยเฉพาะอย่างยิ่ง เรื่องที่เป็นข่าวการทุจริตของ ธอส. เป็นเงินประมาณ 500 ล้านบาท กับธนาคารธนชาต เป็นเงินประมาณ 20 ล้านบาท นั้น

ผมใคร่ขอสรุปในเบื้องต้นว่า ในองค์กรที่ใช้คอมพิวเตอร์ โดยเฉพาะอย่างยิ่ง องค์กรที่เกี่ยวข้องกับสถาบันการเงิน หรือองค์กรที่ใช้คอมพิวเตอร์เป็นหลักในการดำเนินงาน เช่น ตลาดหลักทรัพย์ บริษัทการบิน ระบบความมั่นคงทางการทหาร ++ จำเป็นอย่างยิ่งที่ IT Auditor จะต้องมีบทบาทที่เป็นลักษณะของจุดเริ่มต้นของกระบวนการตรวจสอบ เพื่อรวบรวมหลักฐานจากกระบวนการดำเนินงาน อันเกิดจากการกระทำการทุจริต ซึ่งส่วนใหญ่จะมาจาก Operation Risk ประกอบไปด้วย People Risk, Process Risk, Technology Risk ตามที่กล่าวมาแล้ว

หลังจากได้ข้อมูลและหลักฐานที่จำเป็นครบถ้วนและเหมาะสมแล้ว IT Auditor ก็จะผ่านงานไปยัง Non – IT Auditor เพื่อดำเนินการต่อไป ทั้งนี้ เพราะกระบวนการประมวลผลข้อมูลและหลักฐานในการตรวจสอบ รวมทั้งร่องรอยในการตรวจสอบ (Audit Trail หรืออาจเรียกว่า Management Trail ก็ได้) อยู่ในรูปแบบที่ต้องใช้เทคโนโลยีเป็นอย่างมาก

นี่คือหลักการเบื้องต้นของการตรวจสอบ หรือการวางแผนการตรวจสอบ ไม่ว่าจะมีวัตถุประสงค์ใดก็ตาม ต้องเริ่มจาก การทำความเข้าใจในลักษณะงาน กระบวนการทำงาน Business Process ไปถึง Business Objective ในแต่ละ Activities รวมทั้ง การควบคุมภายในของแต่ละกิจกรรมที่เกี่ยวข้องกับการประมวลผลที่มีความสัมพันธ์อย่างสอดคล้องกันในการก้าวไปสู่วัตถุประสงค์ขององค์กร ซึ่งแน่นอนว่าจะเกี่ยวข้องกับ People + Process + Technology หรือ PPT และตัวอย่างของ ธอส. และธนาคารธนชาต รวมทั้งกรณีศึกษาของกองทุนเลี้ยงชีพที่สถาบัน The Virginia Supplemental Retirement System ซึ่งเทียบเท่ากับ กบข. ซึ่งเป็นกองทุนบริหารบำเน็จบำนาญของข้าราชการของไทยในปัจจุบัน

รายละเอียดเรื่องนี้สามารถประยุกต์ทำความเข้าใจได้จากเรื่องราวของการทุจริตที่ประเทศสหรัฐอเมริกา กรณีการจ่ายคืนเงินฝากของกองทุนเลี้ยงชีพที่สถาบัน The Virginia Supplemental Retirement System

ขอให้ท่านที่สนใจโปรดอ่านและใคร่ครวญถึงจุดอ่อนที่เกิดขึ้นในกระบวนการทำงาน ที่มีส่วนผสมผสานกันระหว่างงานด้าน IT และ Non – IT และช่วยวิเคราะห์ในใจถึงจุดอ่อนในกิจกรรม ในขั้นตอน ของกระบวนการทำงานซึ่งเปิดจุดอ่อนที่ทำให้เกิดการทุจริตได้ จากเรื่องราวที่เป็นจริงในอดีตต่อไปนี้

ความเป็นมาขององค์กรที่เกิดการทุจริต
The Virginia Supplemental Retirement System คือ องค์กรที่ทำหน้าที่เป็นกองทุนเลี่ยงชีพร่วม (Consolidated Tension System) พนังงานลูกจ้างของรัฐใน The Commonwealth of Virginia ส่วนใหญ่เป็นพนักงานลูกจ้างของส่วนราชการท้องถิ่น โรงเรียน รัฐบาล คณะกรรมการศึกษาโรงเรียน และหน่วยงานของรัฐอื่นๆ ประมาณ 700 แห่ง มีบัญชีเงินฝากของพนักงานทั้งที่ยังทำงานอยู่และออกจากงานแล้วกว่า 235,000 บัญชี มีสินทรัพย์รวม 1,300 ล้านเหรียญสหรัฐ ส่วนใหญ่เป็นหุ้นและพันธบัตร ซึ่งเท่ากับ VSRS เป็นธนาคารที่ใหญ่ที่สุดแห่งหนึ่งใน Virginia

รัฐเป็นผู้ดำเนินการกองทุนร่วมนี้ โดยมอบหมายให้คณะกรรมการ 7 คน เป็นผู้บริหารงาน ประกอบด้วยเจ้าหน้าที่ส่วนกลาง ตัวแทนจากคณะกรรมการโรงเรียนส่วนราชการท้องถิ่น และ State Executive Branch และบุคคลภายนอกอีก 3 คน รวมเป็น 7 คน คณะกรรมการเหล่านนี้ไม่มีความรู้เกี่ยวกับการบัญชี หรือการประมวลผลด้วยคอมพิวเตอร์ แต่อย่างไรก็ตาม ก่อนหน้าปี พ.ศ. 2520 สองคนในคณะกรรมการชุดนี้เป็นผู้สอบบัญชีรับอนุญาต

ถึงแม้จะผ่านมาเป็นเวลาถึง 32 ปี แต่ก็เป็นการทุจริตที่ Classic มากที่อาจจะเกิดขึ้นได้อีก โดยเฉพาะอย่างยิ่งประเทศที่มีการบริหารความเสี่ยงทางด้าน IT ไม่เหมาะสม และไม่ได้ดุลยภาพกับความสามารถของผู้ตรวจสอบในหลายองค์กร

คณะกรรมการมีหน้าที่รับผิดชอบเกี่ยวกับการบริหารงานประจำวัน ในปี 2520 ซึ่งเป็นปีที่มีการตรวจสอบ VSRS แบ่งองค์กรออกเป็น 4 แผนกใหญ่ ๆ (ตามรูปภาพที่ 1) ดังนี้

VIRGINIA SUPPLEMENTAL RETIREMENT SYSTEM (VSRS)

Computer Fraud and Forensic Audit

Computer Fraud and Forensic Audit

1. แผนก Investments มีหน้าที่ซื้อขายหุ้นและพันธบัตร แผนกนี้ไม่มีส่วนเกี่ยวข้องในการทุจริต
2. แผนก Operations มีหน้าที่รับผิดชอบหน่วยงานหลายหน่วย รวมทั้งหน่วยงานที่ให้บริการแก่สมาชิกกองทุน (Member and Offices Services) ซึ่งเป็นหน่วยงานต้นตอของการเกิดทุจริต
3. แผนก Data Processing มีผู้จัดการแผนกซึ่งทำหน้าที่ ทั้งวิเคราะห์ระบบงาน และเขียนโปรแกรม จนกระทั่งปี พ.ศ. 2520 จึงจ้างนักโปรแกรมผู้ช่วยมาหนึ่งคน นอกจากนั้นผู้จัดการแผนกยังต้องบังคับบัญชาพนักงานระดับเสมียนอีก 15 คน ซึ่งทำหน้าที่ Retirement Contribution Reporting, Remote Job Entire และ Data Control
4. แผนก Finance มีหัวหน้าแผนกและพนักงานบัญชีอีก 5 คน รับผิดชอบในการบันทึกรายการในบัญชีย่อยและบัญชีคุมยอดทั่วไป (Subsidiary and General Ledger)
VSRS ส่งข้อมูลเข้าไปประมวลผลในคอมพิวเตอร์โดยผ่านเครื่องรับส่งที่ตั้งอยู่ในสถานที่ทำงาน (RJE Station) ซึ่งห่างจากศูนย์กลางคอมพิวเตอร์ IBM 370/158 ประมาณ 2 ไมล์ และศูนย์คอมพิวเตอร์แห่งนี้ยังให้บริการแก่องค์การของรับอื่นอีก 28 แห่ง

เหตุการณ์ที่ก่อให้เกิดการทุจริต
เนื่องจากปริมาณธุรกิจของ VSRS เพิ่มขึ้นมากในช่วงระยะเวลา 10 ปี ทำให้ไม่สามารถบันทึกบัญชีด้วยมือต่อไปอีก VSRS จึงตัดสินใจที่จะนำคอมพิวเตอร์มาใช้ โดยมอบหมายให้องค์การของรัฐที่เรียกว่า Department of Automated Data Processing (ADP) เป็นผู้พัฒนาระบบ งานประมวลผลด้วยคอมพิวเตอร์ ADP เป็นหน่วยงานที่มีหน้าที่พัฒนาระบบงาน เขียนโปรแกรม และประมวลผลให้องค์กรของรัฐ ที่ไม่มีหน่วยงานคอมพิวเตอร์เป็นของตัวเอง

Fraud Audit Process and IT Auditor & Non - IT Auditor

Fraud Audit Process and IT Auditor & Non - IT Auditor

ในปี 2515 หลังจากที่พยายามพัฒนาระบบงานมาแล้ว 5 ปี ทั้ง VSRS และ ADP มีความเห็นพ้องตรงกันว่า โครงการที่ทำอยู่นี้ล้มเหลวโดยสิ้นเชิง ทั้งนี้เนื่องมาจากขาดการบริหารโครงการที่ดี และ VSRS มีความเห็นไม่ตรงกันกับ ADP เกี่ยวกับความต้องการชองระบบงาน (System Requirements) อย่างไรก็ตาม VSRS เริ่มใช้คอมพิวเตอร์เมื่อวันที่ 1 กรกฎาคม 2515 ทั้ง ๆ ที่ตรวจพบว่ายังมีข้อบกพร่องที่สำคัญ ๆ ในระบบอีก 26 แห่ง และเนื่องจาก VSRS ไม่มีพนักงานหรือผู้เชี่ยวชาญ ที่ดำเนินงานตามระบบงานใหม่นี้ได้ จึงต้องจ้างพนักงานของ ADP 3 คน ซึ่งรับผิดชอบโครงการนี้มาทำหน้าที่เป็นรองผู้อำนวยการ ผู้จัดการฝ่าย Operation และผู้จัดการฝ่ายประมวลผลของ VSRS โดยมอบหมายให้แต่ละคนรับผิดชอบเกี่ยวกับการอแก้ไขข้อบกพร่องและใช้ระบบงานใหม่นี้

บทบาทของผู้สอบบัญชี
VSRS ไม่มีหน่วยงานที่ทำหน้าที่ตรวจสอบภายในของตนเอง แต่อย่างไรก็ตามผู้สอบบัญชีรับอนุญาตจากรัฐ (Auditor of Public Accounts – ATA) ซึ่งมีหน้าที่ตรวจสอบฐานะการเงินขององค์การของรัฐใน Virginia ทำหน้าที่เป็นผู้ตรวจสอบการเงินของ VSRS แต่เนื่องจาก ATA ขาดกำลังจ้าหน้าที่ผู้ตรวจสอบจึงไม่สามารถตรวจสอบ VSRS อย่างสม่ำเสมอได้ ดังนั้นจึงทำการตรวจสอบในปีการเงินสิ้นสุด 30 มิถุนายน 2512 และ 2515 เท่านั้น

คณะผู้ตรวจสอบที่เข้าทำการตรวจสอบ VSRS ในปีการเงินสิ้นสุด 30 มิถุนายน 2520 พบว่าการตรวจสอบของปี 2515 ยังไม่สมบูรณ์การตรวจสอบเบื้องต้น (Preliminary work) ซึ่งเริ่มตั้งแต่เดือนมีนาคม 2520 ได้แก่ การตรวจสอบระบบการควบคุมทางด้านการบัญชี ทางด้านการประมวลผลด้วยคอมพิวเตอร์ (EDP) ผู้ตรวจสอบจะตรวจสอบและจัดทำงบการเงินสำหรับปีสิ้นสุด 30 มิถุนายน 2516,2517, 2518, 2519 และ 2520 แต่ไม่มีการตรวจสอบทางด้าน EDP ในระยะ 5 ปีที่ผ่านมาและไม่เคยแม้แต่จะตรวจสอบระบบการควบคุมภายในอย่างกว้าง ๆ เกี่ยวกับระบบงานด้านคอมพิวเตอร์ ซึ่งอาจเป็นสาเหตุหนึ่งที่ทำให้การตรวจสอบด้านการเงิน (Financial Examination) ได้ผลไม่สมบูรณ์และอาจตรวจพบกรณีการทุจริตที่เกิดขึ้นได้

การตรวจสอบเบื้องต้น (Preliminary Audit Review)
ผู้ตรวจสอบเข้าร่วมประชุมกับฝ่ายบริหารของ VSRS เพื่อชี้แจงเกี่ยวกับวิธีการตรวจสอบโดยทั่ว ๆ ไปและขอบเขตของการตรวจสอบผู้ที่ไม่ได้เข้าร่วมประชุมคือรองผู้อำนวยการ VSRS ซึ่งลาออกและย้ายไปอยู่ที่รัฐอื่น เรื่องที่สำคัญ ๆ ได้แก่
1. การสอบถามพนักงานของ VSRS และการศึกษาระบบงานจาก System Documentation
2. การจัดทำแผนผังการควบคุมและคำบรรยายเกี่ยวกับลักษณะของระบบงาน (Computer Application Systems)

ระบบงานคอมพิวเตอร์ที่สำคัญ ๆ แบ่งออกเป็น 4 ระบบ คือ
1. Member Contribution Accord (MCA) System
2. Refund System
3. Retirement Annuitant Payroll System (RAPS)
4. Investment Portfolio According System

1. Member Contribution Accords (MCA) System
หมายถึง ระบบงานที่ใช้สำหรับบันทึกและประมวลผลรายการนำส่งเงินของสมาชิก VSRS ซึ่งมีบัญชีอยู่ในแฟ้มข้อมูลทั้งสิ้น 315,000 บัญชี การค้นหาและเก็บข้อมูลในบัญชีใช้ระบบ ISAM (Indexed Sequential Access Method) ลักษณะของข้อมูลที่บรรจุอยู่ใน MCA Master File ปรากฏอยู่ในรูปภาพที่ 2

ในแต่ละปีจะมีรายการ (Transaction) เข้ามาในระบบงาน MCA มากกว่า 3,000,000 รายการ หรือเป็นจำนวนเงินที่รับเข้ามามากกว่า 100 ล้านเหรียญสหรัฐ การส่งเงินของสมาชิกแต่ละรายการกระทำโดยผ่านทางนายจ้าง นายจ้างจะหักเงินเดือนพนักงานซึ่งเป็นสมาชิกของ VSRS และนำส่งเช็ค ใบนำส่งเช็ค และรายชื่อสมาชิก และจำนวนเงินแต่ละราย (Contribution Report) ให้ VSRS

เมื่อ VSRS ได้รับเอกสารที่กล่าวเรียบร้อยแล้ว จะส่งเช็คและใบนำส่งเช็คไปให้แผนกบัญชี แผนกบัญชีจะออกใบรับฝากเงิน (Deposit Certificate) ให้ และนำเช็คไปฝากเข้าธนาคาร จากนั้นจะบันทึกรายการในสมุดบัญชีเงินสดรับ (Cash Receipts Ledger) และทำใบนำส่งเช็คไปเก็บเรื่องเข้าแฟ้มไว้เป็นหลักฐานสำหรับ Contribution Report จะถูกส่งไปยังแผนก Contribution Reporting Section

รายงาน Contribution Report ที่ส่งมาให้ VSRS โดยปกติจะแสดงเฉพาะสมาชิกรายที่มีการเปลี่ยนแปลงหรือเพิ่มขึ้นใหม่เท่านั้น (Exception Basis) ส่วนรายที่มิได้รายงานถือว่าคงเดิม ดังนั้นการบันทึกข้อมูลเข้าเก็บไว้ใน MCA master file จะยึดถือจำนวนเงินที่นำส่งครั้งก่อนเป็นหลัก แล้วปรับปรุงด้วยส่วนที่เปลี่ยนแปลง หรือเพิ่มเติมตามรายงานที่ฝากนายจ้างส่งมาให้ก่อน ที่จะสั่งให้คอมพิวเตอร์ Update บัญชีสมาชิกด้วยจำนวนเงินที่กล่าว VSRS จะให้คอมพิวเตอร์พิมพ์รายงานจำนวนเงินนำส่งรวมของนาจ้างแต่ละรายแล้วส่งไปให้แผนก Contribution Reporting Section เพื่อเปรียบเทียบกับจำนวนเงินในใบนำส่งเช็ค (Check Transmittal Form) เมื่อ Update เรียบร้อยแล้ว คอมพิวเตอร์จะออกรายงานส่งให้แผนก Contribution Reporting Section 3 ฉบับ คือ Posting Sheet Report, Possible Duplicate Accords Report และ Missing Membership Data Report

– Posting Sheet Report คือ รายงานที่แสดงจำนวนเงินรวมที่ Update ในบัญชีสมาชิก VSRS ของนายจ้างแต่ละราย หลังจากบันทึกจำนวนรวมดังกล่าวไว้ใน Control Book แล้วก็จะทิ้ง Posting Sheet Report ไป

– Possible Duplicate Accords Report คือ รายงานที่แสดงบัญชีสมาชิกที่มีชื่อและหมายเลขประกันสังคม (Social Security Number) รายงานนี้เป็นประโยชน์ในการค้นหาหมายเลขประกันสังคมที่นายจ้างรายงานมาผิดพลาด

– Missing Membership Data Report คือรายงานที่แสดงรายชื่อของสมาชิกที่ไม่มีบัญชีใน MCA Master File ทั้งนี้เนื่องจากนายจ้างไม่กรอกและส่งแบบฟอร์ม VSRS Membership Form (VSRS – 1) มาให้จึงทำให้ VSRS ระบุชื่อ อายุ เพศ วันที่เป็นสมาชิก และผู้รับผลประโยชน์ ส่งไปให้ VSRS เพื่อเปิดบัญชีสมาชิกใหม่ให้ VSRS จะเก็บ VSRS – 1 เรียงเข้าแฟ้มไว้ในห้องเก็บของ (Storeroom) ซึ่งมิได้ควบคุมการเข้าและออกในแผนก Membership and Office Service Section

สมาชิกที่ยังคงดำรงสภาพพนักงานอยู่ (Active Member) จะได้รับใบแจ้งยอดคงเหลือในบัญชี (Accord Statements) ปีละครั้งโดยมี VSRS จะส่งตรงไปให้นายจ้าง เพื่อแจกจ่ายให้พนักงานซึ่งเป็นสมาชิกต่อไป

เรื่องราวเกี่ยวกับการทุจริตกรณีนี้ยังมีต่อไปอีกค่อนข้างยาว เพราะมีการสอบสวน รวมทั้งการหาข้อมูลเพื่อสาวไปถึงจุดอ่อนและผู้ร่วมการทุจริต เพื่อหาแนวทางป้องกันปัญหาที่อาจเกิดขึ้นในอนาคต

ก็คล้าย ๆ กับกรณีการทุจริตของธนาคาร Socgen เมื่อปี 2550 นะครับ เพราะผู้ทุจริตก็มาจากผู้เชี่ยวชาญทางด้าน IT เป็นผู้พัฒนาโปรแกรมที่เกี่ยวข้องกับระบบงานการทุจริต ซึ่งต่อมาด้วยความผิดพลาดของทางธนาคารที่ออกนโยบายเกี่ยวกับการคัดเลือกพนักงาน และการให้รางวัลที่มีผลตอบแทนจากกำไรในการดำเนินงาน ซึ่งตามมาด้วยช่องว่าง (Exposure) ที่ก่อให้เกิดการทุจริตตามมา เรื่องนี้สาเหตุหลักของการทุจริตก็คือ ความผิดพลาดทางด้านนโยบายของธนาคาร ซึ่งเป็น Root Cause ที่แท้จริง ซึ่งมีผลกระทบตามมาเป็นลูกโซ่ และจบลงด้วยการทุจริต หากมีโอกาสผมจะได้มาวิเคราะห์ในกรณี Socgen ในมุมมองของการบริหารและผู้ตรวจสอบต่อไป

สำหรับกรณีของ ธอส. หรือธนาคารธนชาต เอาไว้คุยกันวันหลังนะครับ

 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/