Posts Tagged "Gathering Information for Auditing"

กบข. กับกรณีการตรวจสอบการทุจริตของกองทุนเลี้ยงชีพ The Virginia Supplemental Retirement System กับผู้ตรวจสอบ

ผมกำลังนำบทเรียนเกี่ยวกับการทุจริตของกองทุนเลี้ยงชีพในต่างประเทศ ซึ่งเกิดขึ้นเมื่อหลายปีก่อนมาให้ท่านได้ศึกษา เพื่อเปรียบเทียบกับกรณีการทุจริตต่าง ๆ ที่กำลังเกิดขึ้นในวงการสถาบันการเงินของไทย เพื่อให้ท่านเกิดแนวคิด และเข้าใจถึงความสำคัญของข้อมูลและสารสนเทศเพื่อใช้ในการบริหารและการจัดการ ที่จำเป็นต้องมีการควบคุมทางด้าน IT Security อย่างละเอียดและอย่างเข้าใจถึงช่องว่างที่เป็นจุดเปิดของการทุจริต (Exposure) ได้ เพื่อจะนำมาเปรียบเทียบถึงสิ่งที่เกิดขึ้นในบ้านเรา และสร้างความตระหนักถึงการบริหารอย่างสอดประสานและบูรณาการในเชิงรุกอย่างแท้จริง ซึ่งในที่สุดแล้วจะเกี่ยวข้องกับการบริหารและการจัดการทางด้าน CG + ITG + GRC + COSO – ERM อย่างเป็นกระบวนการ และผสมผสานระหว่างการบริหารงานด้าน IT และ Non – IT โดยมีวิสัยทัศน์ พันธกิจ นโยบาย กลยุทธ์ แผนการปฏิบัติงาน ตัวชี้วัดผลการปฏิบัติงาน การติดตามและการรายงานผล รวมทั้งการตรวจสอบตามฐานความเสี่ยงแบบบูรณาการ

ผู้ตรวจสอบกับการทำความเข้าใจในลักษณะของธุรกิจเฉพาะเพื่อการตรวจสอบ

ผู้ตรวจสอบกับการทำความเข้าใจในลักษณะของธุรกิจเฉพาะเพื่อการตรวจสอบ

บทเรียนของต่างประเทศที่จะกล่าวต่อไปเพิ่มเติมจากวันก่อนนั้น ก็จะเป็นอุทธาหรณ์สำหรับการบริหารของกองทุนเลี้ยงชีพของไทย เช่น กบข. รวมทั้งองค์กรอื่นที่สนใจในเรื่องเกี่ยวกับการตรวจสอบการทุจริตในแง่มุมต่าง ๆ ที่ต้องใช้ประสบการณ์ในการตรวจสอบทางด้านคอมพิวเตอร์เป็นหลัก

ท่านคงไม่ลืมเรื่องราวที่ผมพูดถึงกรณีการทุจริตของธนาคาร Socgen ซึ่งเป็นธนาคารใหญ่เป็นอันดับ 2 ของประเทศฝรั่งเศสที่ถูกทุจริต รวมกันเป็นเงินทั้งสิ้นประมาณ 3 แสนล้านบาท ซึ่งเกิดจากบุคคลที่รู้เรื่อง IT เป็นอย่างดีเพียงคนเดียว ท่านลองไปทบทวนเรื่องนี้ประกอบกับบทเรียนใหม่ที่จะกล่าวในวันนี้

จากการตรวจสอบในเบื้องต้นในการจัดทำแผนผังการควบคุมและคำบรรยายเกี่ยวกับลักษณะของระบบงาน (Computer Application Systems) ซึ่งแบ่งออกเป็น 4 ระบบ ที่ได้กล่าวถึงระบบ Member Contribution Accord (MCA) System ไปในครั้งที่แล้ว และจะขอกล่าวต่อถึงระบบต่อไป ดังนี้

2. Refund System
หมายถึง ระบบงานที่ใช้สำหรับบันทึกและประมวลผลรายการจ่ายคืนเงินให้แก่สมาชิกรายที่ออกจากงาน และยื่นหนังสือแสดงความจำนงขอถอนเงินทีฝากไว้คือ ในกรณีที่สมาชิก (Active Member) ถึงแก่กรรม VSRS จะคืนเงินที่รับฝากให้แก่กองมรดก หรือผู้รับประโยชน์ และปรับปรุงยอดคงเหลือในบัญชีของสมาชิกที่รับเงินคืนไป

ในแต่ละปี VSRS จะคืนเงินให้สมาชิก 18,000 – 22,000 ราย เป็นจำนวนเงินประมาณ 14-21 ล้านเหรียญ ส่วนใหญ่จะอยู่ในช่วงฤดูร้อน เพราะอัตราการเปลี่ยนงานสูง โดยเฉพาะอาชีพครู

เมื่อสมาชิกมีความประสงค์จะขอถอนเงินคืน จะต้องกรอกแบบฟอร์ม VSRS-3 รูปภาพที่ 3 ซึ่งระบุหมายเลขประกันสังคม ชื่อ ที่อยู่ วัน เดือน ปีเกิด และชื่อของนายจ้าง หลังจากลงรายมือชื่อเรียบร้อยแล้วก็ให้ส่ง VSRS-3 ไปยังแผนกเงินเดือนของตน แผนกเงินเดือนจะกรอกรายละเอียดที่เหลือของแบบฟอร์ม VSRS-3 ท่อนล่างซึ่งระบุวันที่ ที่หักเงินเดือนครั้งสุดท้าย ชื่อ และรหัสประจำตัวของนายจ้าง และรายละเอียดของเงินนำส่งที่ยังไม่ได้รายงานให้ VSRS ทราบ จากนั้นก็ลงนามแล้วก็ส่งไปให้ VSRS ซึ่งจะมอบหมายให้แผนก Refund section (สังกัดอยู่ใน Membership and Office Department) ตรวจสอบความสมบูรณ์ของเอกสาร จากนั้นจะส่ง VSRS-3 ไปให้ฝ่ายประมวลข้อมูลทำการเจาะบัตรเพื่อบันทึกลงเทปที่เรียกว่า Refund Inventory Computer Tape ซึ่งใช้สำหรับบันทึกรายการขอถอนเงินคืนที่ยังคงค้างยู่ทั้งหมด และพิมพ์รายละเอียดของรายการขอถอนเงินคืนที่คงค้างในเทป ฝ่ายประมวลข้อมูลจะส่งรายละเอียดนี้พร้อมกับเทปไปให้แผนก Refund section

แผนก Refund Section จะนำ VSRS-1 ซึ่งเก็บไว้ใน Storeroom มาประกบกับ VSRS-3 รายที่ขอถอนเงินคืน แล้ก็รวบรวมกันไว้ในแฟ้ม พนักงานประจำเครื่องรับส่งข้อมูล (RJE Operator) จะเรียกโปรแกรมคอมพิวเตอร์เพื่อมาทำการเปรียบเทียบข้อมูลที่เก็บไว้ใน Refund Inventory Tape กับ MCA Master Fileและพิมพ์รายงานยอดคงเหลือของแต่ละบัญชีสัปดาห์ละครั้ง แล้วส่งรายงานนี้ไปให้แผนก Refund Section ตรวจสอบกับ VSRS-3 ที่เก็บไว้ในแฟ้ม แผนก Refund Section จะคำนวณเงินที่ต้องคืนแก่สมาชิกจากแบบฟอร์ม VSRS-3 ท่อนล่าง ซึ่งจะเท่ากับจำนวนเงินที่ปรากฏตามรายงานยอดคงเหลือในบัญชี + ส่วนที่นายจ้างรับรอง ว่าได้หักจากเงินเดือนของพนักงานแล้ว แต่ยังไม่ได้รายงานให้ VSRS ทราบ

แผนกบัญชี (According Section) จะออกสลิปปะหน้า (Voucher Cover Sheet) VSRS-3 ส่งให้ฝ่ายประมวลข้อมูลเจาะรหัสบนบัตร Refund Card รูปภาพที่ 4 แล้วจัดทำรายละเอียดที่ขอถอนคืนแต่ละราย และรวมยอดจำนวนเงินที่ขอถอนคืนทั้งสิ้นตาม Refund Card เปรียบเทียบกับจำนวนเงินรวมในสลิปปะหน้า อย่างไรก็ตามการถอนเงินคืนไม่จำเป็นต้องถอนเงินจนยอดในบัญชีเหลือเป็นศูนย์ แต่จะกำหนดรหัสพิเศษให้เพื่อแสดงว่า บัญชีนี้มีการถอนเงินคืนไปแล้ว เสร็จแล้วจะโอนรายการถอนเงินคืนจาก Refund Inventory Tape ไปเก็บไว้ใน Refund Transaction History Tape สำหรับ Refund Card ฝ่ายประมวลข้อมูลจะเก็บเข้าแฟ้มไว้เพื่อใช้ในการหักบัญชีสมาชิกต่อไป เมื่อนายจ้างส่งเงินมาให้เพิ่มเติมตามที่ระบุไว้ใน VSRS-3 โดนเรียงลำดับตามหมายเลขรหัสของนายจ้าง และวันครบกำหนดในแฟ้มนี้จะมี Refund Card ประมาณ 2,000-3,000 ใบ

ฝ่ายประมวลข้อมูลจะส่งรายงานคอมพิวเตอร์และ VSRS-3 กลับคืนไปให้ Refund Section เพื่อเช็คสอบยอดรวม เสร็จแล้ว Refund Section จะส่งสลิปถอนเงิน (Voucher) ไปให้ผู้อำนวยการ VSRS ลงนาม สั่งจ่ายเมื่อ Refund Section ได้รับสลิปคืนมาก็จะส่งทางไปรษณีย์ไปให้สำนักงานคลังของรัฐ (State Treasurer’s Office) พร้อมกับที่อยู่ตามที่ระบุไว้ในท่อนล่างของ VSRS-3 และจะส่งสลิปต้นฉบับไปให้สำนักงานบัญชีกลางของรัฐ (State Comptroller’s Office) ส่วนสลิปชุดสำเนาจะถูกส่งไปยังแผนกบัญชี เพื่อบันทึกไว้ในสมุดบัญชีเงินสดจ่าย (Cash Disbursements Ledger) แล้วส่งกลับไปเก็บเข้าใน Refund Section

ตามที่กล่าวไว้ในตอนต้นแล้วว่า VSRS จะยังไม่คืนเงินให้แก่สมาชิกจนกว่านายจ้างจะส่งรายงานและเงินมาให้จนครบแล้ว ดังนั้นเมื่อนายจ้างส่งรายงานมาครบแล้ว เสมียนในแผนก Contribution Reporting Section จะดึง Refund Card รายที่มีวันครบกำหนดตรงกับวันที่ในรายงาน (Reporting Period Data) จากนั้นจะส่ง Refund Card ไปให้พนักงานประจำเครื่อง RJE เพื่อลดยอดคงเหลือในบัญชีตามที่กำหนดใน Refund Card แล้วสั่งให้เครื่องคอมพิวเตอร์พิมพ์รายงานจำนวนเงินที่ถอนคืนไปทั้งหมด (Refund Total Report) โดยแสดงรายละเอียดเฉพาะหมายเลขประจำตัวนายจ้างและจำนวนเงินรวมแต่ละราย จากนั้นก็บันทึกจำนวนเงินที่ถอนไปทั้งสิ้นใน Control Bookซึ่งเป็นสมุดเล่มเดียวกับที่เคยบันทึกจำนวนเงินรับจากสมาชิกทั้งสิ้นเสร็จแล้วก็ทิ้ง Refund Cardไป

ภาพที่แสดงถึงการควบคุมเพื่อการบริหารและตรวจสอบ ในระบบงานที่ใช้คอมพิวเตอร์

ภาพที่แสดงถึงการควบคุมเพื่อการบริหารและตรวจสอบ ในระบบงานที่ใช้คอมพิวเตอร์

ในกรณีที่ยังมียอดคงเหลืออยู่ในบัญชีหลังจากที่คืนเงินให้สมาชิกแล้ว ทั้งนี้อาจจะเนื่องมาจากการคำนวณผิดพลาด ดังนั้นแผนก Refund Section จะต้องตรวจสอบดูว่าควรจะคืนเงินที่เหลือให้แก่สมาชิกหรือไม่ ในบางกรณีก็จะส่งใบยืนยันยอดไปให้สมาชิกหรือนายจ้าง เมื่อได้รับใบยืนยันยอดคืนมาจะส่งไปให้ฝ่ายประมวลขอมูลพร้อมกับ Refund Worksheets เพื่อเจาะรหัสลงบัตร แต่โดยปกติเสมียนในแผนก Refund Section จะเป็นผู้เจาะบัตรด้วยตัวเอง จากนั้นก็ดำเนินการเหมือนกับกรรมวิธีข้างต้น ยกเว้นว่าไม่ต้องบันทึกรายการขอ Refund ไว้ใน Refund Inventory Tape

การคืนเงินให้แก่ผู้รับประโยชน์หรือกองมรดก ก็คงดำเนินวิธีการเช่นเดียวกับการคืนเงินตามปกติ

สำหรับรูปภาพประกอบคำอธิบาย หากเป็นไปได้ผมจะนำมาเสนอให้ทราบในโอกาสต่อไป เพื่อสร้างความเข้าใจสำหรับผู้ที่สนใจอย่างแท้จริง ถึงการตรวจสอบในรายละเอียดที่มีลักษณะเป็นการตรวจสอบเชิงสอบสวนและหาหลักฐานที่เกี่ยวข้องทางด้านคอมพิวเตอร์ ที่มีลักษณะเป็น Forensic Audit แบบหนึ่ง

ท่านผู้บริหารและท่านผู้ตรวจสอบทางด้าน IT และ Non – IT ครับ ท่านได้อ่านถึงการตรวจสอบอย่างเป็นกระบวนการ 2 ใน 4 ระบบงานหลักของการบริหารกองทุนเลี้ยงชีพเพื่อการศึกษาแห่งนี้ไปแล้ว ท่านได้ภาพอะไรบ้างไหมครับว่า ในกรณีที่ท่านต้องติดตาม สอบสวน เรื่องราวการทุจริตในองค์กรที่ใช้คอมพิวเตอร์ในเชิงลึก และมีหลักฐานอย่างแท้จริงถึงสาเหตุที่เป็น Root Cause ของปัญหาในการทุจริต เพื่อหาแนวทางควบคุม และป้องกันมิให้เหตุการณ์ทำนองเดียวกันนี้เกิดขึ้นอีกในองค์กรของท่าน

โปรดติดตามการตรวจสอบอีก 2 ระบบงานหลักต่อไปนะครับ และขณะเดียวกันขอให้ท่านพิจารณาด้วยว่าการดำเนินการร่วมกันระหว่าง IT Auditor กับ Non – IT Auditor มีความเหมาะสม หรือน่าจะปรับปรุงอะไรบ้าง ให้เหมาะกับเทคโนโลยียุคใหม่ที่ได้เปลี่ยนแปลงไปมากแล้ว