Posts Tagged "IT Audit"

ความเข้าใจในกระบวนการตรวจสอบ กับการวางแผนการตรวจสอบ (ต่อ)

ในครั้งก่อน ผมได้พูดถึงสภาพแวดล้อมของเศรษฐกิจ และการเงินในปัจจุบัน ซึ่งเป็นขั้นตอนที่อาจเรียกว่า Down – turn หรือ อาจเรียกว่า อยู่ในระยะฟื้นตัวของเศรษฐกิจ การเงิน กับการตรวจสอบ

คณะกรรมการ และผู้บริหารระดับสูง ขององค์กร จะต้องเป็นผู้วางแนว และความต้องการในลักษณะของการสร้าง Reasonable Assurance เพื่อสนองตอบต่อความต้องการของ Stakeholders มากกว่าความต้องการของ Shareholders ซึ่งเป็นมุมมองเดิม ๆ ที่ไม่เหมาะกับการบริหาร เพื่อสร้างความเชื่อมั่น ความไว้วางใจ ให้กับผู้มีผลประโยชน์ร่วม และจะมีผลต่อการเติบโตอย่างยั่งยืนขององค์กรได้ในที่สุดนั้น

ในมุมมองดังกล่าวข้างต้น หากคณะกรรมการและผู้บริหารระดับสูง ยังไม่แน่ใจ หรือขาดความเชื่อมั่นในตนเอง ในระดับหนึ่ง ก็มักจะมอบหมายให้การนำเสนอเรื่องราวต่าง ๆ รวมทั้ง การวางแผนการตรวจสอบ (Audit Plan) เพื่อสนองตอบต่อ Stakeholders ในมุมมองของ Business Model ใหม่ เริ่มต้นในลักษณะ Bottom – Up ซึ่งจะได้ผลค่อนข้างจำกัด ในการสนองตอบต่อ Vision + Mission และกลยุทธ์ใหม่ขององค์กร เนื่องจาก พนักงานในระดับรอง ๆ ลงไป มีความเข้าใจในมุมมองระดับสูง และระดับกว้าง โดยเฉพาะระดับนโยบายขององค์กร หรือระดับประเทศที่แตกต่างกันค่อนข้างมาก

รายละเอียดในภาคปฏิบัติ สำหรับการดำเนินงาน การบริหาร การจัดการ การตรวจสอบ ทางด้าน IT และ Non – IT เพื่อสนองตอบให้กับกลุ่มผู้มีผลประโยชน์ร่วมต่าง ๆ อย่างได้ดุลยภาพ หรือเกิดความพอดี หรือพอเพียง ในการบริหารและการจัดการแบบบูรณาการ ตามหลัก GRC เพื่อการเติบโตอย่างยั่งยืนนั้น ต้องการผู้นำที่มีวิสัยทัศน์ และเข้าใจกระบวนการบริหาร ในระดับประเทศ และในภาคส่วนต่าง ๆ ที่สัมพันธ์กัน ในการขับเคลื่อนวัตถุประสงค์ขององค์กร เพื่อการเติบโตอย่างยั่งยืน

การควบคุมภายในและการตรวจสอบ ทางด้าน IT และ Non – IT มีส่วนสำคัญอย่างยิ่งต่อกระบวนการบริหาร เพื่อสร้างคุณค่าเพิ่ม และสร้างความมั่นใจอย่างสมเหตุสมผลว่า กิจกรรมการควบคุมต่าง ๆ ที่ขับเคลื่อน Business Process ไปสู่ Business Objective นั้น เหมาะสมและสัมพันธ์กับสภาพแวดล้อมที่เปลี่ยนแปลงไปอย่างรวดเร็ว และในหลายมุมมอง ผู้ตรวจสอบตามไม่ทันกับเทคโนโลยีที่เปลี่ยนแปลงไป และมีผลกระทบต่อการขับเคลื่อน และการบริหารความเสี่ยง เพื่อก้าวไปสู่วัตถุประสงค์ระดับองค์กร และระดับประเทศ อย่างมีนัยสำคัญ

วันนี้ ผมจะยังคงกล่าวถึงมุมมอง เพื่อสร้างความเข้าใจในการวางแผนการตรวจสอบที่เกี่ยวข้องกับ IT ไม่ว่าจะเป็น IT Audit หรือ Non – IT Audit ก็ตาม เพราะการตรวจสอบทั้ง 2 เรื่อง ในที่สุดแล้วก็จะหลอมรวมกันเป็นหนึ่งเดียว ของกระบวนการจัดการ ตามหลักการ GRC

ขอให้ท่านผู้อ่านได้พิจารณาแผนภาพกระบวนการวางแผน และการตรวจสอบ ที่เกี่ยวข้องกับงานด้าน IT และมีผลโดยตรงต่อการประเมินความน่าเชื่อถือได้ของข้อมูล (Data) และสารสนเทศ (Information) ตามหลักการของ IT Governance และ CobiT v.4.1 ที่เน้นเรื่อง ความน่าเชื่อถือได้ของ Information เป็นสำคัญ เพราะมีผลต่อกระบวนการบริหาร ตามหลักการบริหารความเสี่ยงของ COSO – ERM ตามหลักการ S – O – F – C ที่ผมกล่าวถึงหลาย ๆ ครั้งมาแล้ว

ขอให้ท่านผู้อ่านได้พิจารณาแผนภาพ และการบวนการบริหารที่เกี่ยวข้องกับการควบคุมและการตรวจสอบ บางมุมมอง ขององค์กรที่ใช้คอมพิวเตอร์ และพยายามสร้างความเข้าใจ หรือ คำถาม จากผลกระทบของการควบคุม ที่อาจมีจุดอ่อนในกิจกรรม และกระบวนการทำงานที่เกี่ยวข้องต่อรายงานต่าง ๆ ที่ท่านผู้บริหารต้องใช้ ดังต่อไปนี้นะครับ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

กาตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

การตรวจสอบระบบงานที่ใช้เทคโนโลยีสารสนเทศ

คณะกรรมการตรวจสอบ ผู้ตรวจสอบ ผู้บริหาร และรับผิดชอบการบริหารความเสี่ยงทั่วทั้งองค์กร ที่ใช้หลัก COSO – ERM หากต้องการได้รับความมั่นใจอย่างสมเหตุสมผลของกระบวนการควบคุมภายใน และการตรวจสอบตามฐานความเสี่ยง เพื่อให้การบรรลุวัตถุประสงค์ระดับองค์กร และระดับสายงาน ประสบความสำเร็จดังที่ตั้งใจไว้ และเป็นไปตาม Vision + Mission + Policy + Strategy + Action Plan + KPI ที่เกี่ยวข้อง ในมุมมองต่าง ๆ โดยเฉพาะอย่างยิ่ง มุมมองของการสอดประสานและบูรณาการ ตามหลักการ GRC หากเข้าใจและมั่นใจกระบวนการติดตามผลของคณะกรรมการและผู้บริหารระดับต่าง ๆ รวมทั้งการตรวจสอบภายใน ซึ่งรวม ๆ แล้วอาจจะเรียกว่า Assurance แล้วละก็ คงจะสบายใจได้ขึ้นมาก ว่าองค์กรสามารถก้าวสู่การบรรลุวัตถุประสงค์ หากได้รับผลการตรวจสอบที่น่าเชื่อถือได้ จากผู้ตรวจสอบที่มีศักยภาพที่เข้าใจความต้องการของ Stakeholders ในมุมมองต่าง ๆ และมีการวางแผนการตรวจสอบได้ตรงกับวัตถุประสงค์ที่ Stakeholders ต้องการในมุมมองที่เกี่ยวข้อง

ในครั้งต่อไป ผมจะค่อย ๆ ลงรายละเอียดในระดับที่ลึกลงไปถึง กระบวนการวางแผนการตรวจสอบขององค์กรที่ใช้คอมพิวเตอร์ และเทคนิคการตรวจสอบความน่าเชื่อถือได้ของข้อมูล และสารสนเทศ รวมทั้ง การควบคุมภายใน ตามฐานความเสี่ยง ที่จะทำให้แน่ใจอย่างสมเหตุสมผลว่า คณะกรรมการและผู้บริหารระดับสูง ได้รับรายงานที่มีคุณค่าต่อการตัดสินใจที่แท้จริง

 

ขั้นตอนในการวางแผนการตรวจสอบ เพื่อสร้างคุณค่าเพิ่มให้กับองค์กร โดยรวม ภายใต้สภาพแวดล้อมปัจจุบัน

การวางแผนการตรวจสอบ เพื่อสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วม หรือ Stakehoders ในมุมมองของภาพโดยรวม ซึ่งเป็นการตรวจสอบทางด้าน It (IT Audit) และ Non – IT มีแนวทางในการพิจารณาดำเนินการ โดยหัวหน้าผู้ตรวจสอบ ดังนี้

1. ระบุความต้องการของฝ่ายบริหาร เพื่อสร้างคุณค่าเพิ่มให้กับ Stakeholders ในมุมมองของ หัวหน้าผู้ตรวจสอบ และฝ่ายตรวจสอบภายในขององค์กร ก็คือ การพิจารณาว่า คณะกรรมการและฝ่ายบริหารขององค์กร ต้องการสร้างคุณค่าเพิ่มให้กับ Stakeholders ในมุมมองใดบ้าง

2. รวบรวมข้อมูลที่เกี่ยวข้องกับการขับเคลื่อนกลยุทธ์ ทั้ง 4 มุมมอง ให้สัมพันธ์กับสภาพแวดล้อมที่เป็นอยู่ในปัจจุบัน เช่น ในกรณีที่เป็นเศรษฐกิจขาลง ผู้ตรวจสอบก็ควรพิจารณา วางแผนการตรวจสอบ ที่เน้นไปทางด้านการตรวจสอบกลยุทธ์ ให้มีน้ำหนักมากขึ้น และให้น้ำหนักที่เกี่ยวข้องกับการตรวจสอบ การปฏิบัติตามกฎหมายกฎเกณฑ์ให้น้อยลง เป็นต้น

ทั้งนี้ ผู้ตรวจสอบยังคงให้ความสำคัญในการตรวจสอบความเสี่ยงจากการดำเนินงาน ที่จะมีผลกระทบต่อความเสี่ยงทางด้านกลยุทธ์ ทางด้านการเงิน และการรายงานต่าง ๆ และมีผลกระทบต่อการปฏิบัติตามกฎหมาย กฎเกณฑ์ โดยพิจารณาในภาพผลกระทบที่ต่อเนื่องจากการดำเนินงานที่มีจุดอ่อนต่าง ๆ เป็นสำคัญ

3. เพิ่มและให้น้ำหนักการตรวจสอบทางด้านการทุจริต และการใช้เทคโนโลยีเข้าช่วยในการตรวจสอบให้มากขึ้น ทั้งนี้ โดยเชื่อมโยงวัตถุประสงค์เชิงกลยุทธ์ ที่มีเป้าหมายในการขับเคลื่อนการสร้างคุณค่าเพิ่มต่าง ๆ ขององค์กร

4. เชื่อมโยงความเสี่ยงทางด้านการตรวจสอบ ที่มาจากฝ่ายจัดการ จากการบริหารความเสี่ยงที่ไม่ได้ผล โดยเฉพาะอย่างยิ่ง ความเสี่ยงจากการที่ข้อมูลและสารสนเทศ เชื่อถือได้ในระดับจำกัด ให้เข้ากับการวางแผนการตรวจสอบ ทางด้าน IT และ Non – IT

5. ลดขนาดของการตรวจสอบงานประจำ ที่สร้างคุณค่าเพิ่มน้อยลงไป หรือในกรณีที่ทรัพยากรมีจำกัด งานประเภทที่มีคุณค่าเพิ่มต่ำ ก็อาจจัดอยู่ในการตรวจสอบระดับท้าย ๆ

6. ระดมความคิดเห็นจากผู้ตรวจสอบ ในแนวทางที่จะช่วยลดต้นทุนในการดำเนินงาน และการใช้ทรัพยากรในการตรวจสอบ และนำไปหารือกับคณะกรรมการตรวจสอบ ที่เข้าใจความต้องการ และทิศทางในการดำเนินงานของคณะกรรมการ ในการขับเคลื่อนธุรกิจ ภายใต้สภาพแวดล้อมที่เป็นอยู่ในปัจจุบัน และกลยุทธ์ที่เปลี่ยนแปลงไป และนำข้อมูลที่ได้รับมาปรับปรุงแผนการตรวจสอบ ให้สัมพันธ์กับทรัพยากรของฝ่ายตรวจสอบภายในที่มีอยู่

7. ให้ระบุกระบวนการในการประมวลข้อมูลที่ขาดประสิทธิภาพในการดำเนินงาน (Inefficient Processes) ที่มีอยู่ ภายใต้สถานการณ์การควบคุมที่เป็นปัจจุบัน ที่จำเป็นต้องเปลี่ยนแปลง หรืออาจต้องเปลี่ยนแปลงให้เหมาะสมกับสภาพแวดล้อม ที่มาจากภายนอกและภายในองค์กร

8. ประเมินความเสี่ยงจากการบริหารและการจัดการ ที่อาจมองข้ามจุดอ่อนของการควบคุมกิจกรรม และกระบวนการทำงาน ที่มาจากระบบคอมพิวเตอร์ ทั้งทางด้าน General Control และ Application Control และจุดอ่อนจากกระบวนการบริหารความเสี่ยงเชิงรุก ที่ไม่อาจนำหลักการบริหารความเสี่ยงทั่วทั้งองค์กร (COSO – ERM) มาใช้ได้อย่างมีประสิทธิผลและประสิทธิภาพ

9. ทบทวนและสอบทานจุดอ่อนจากบทเรียนขององค์กรอื่น ๆ ภายใต้สภาพแวดล้อมที่เกี่ยวข้องกับทางด้านเทคโนโลยีสารสนเทศและการจัดการที่ดี อย่างเช่น การนำบทเรียนกรณีทุจริตของธนาคาร Socgen ซึ่งเป็นธนาคารใหญ่ที่สุดเป็นอันดับ 2 ของประเทศฝรั่งเศส และเสียหายจากการทุจริตและการดำเนินงาน เป็นเงินประมาณ 4 แสนล้านบาท จากการทุจริตของคน ๆ เดียว และกรณีทุจริตต่าง ๆ ที่เกิดจาก คน + กระบวนการดำเนินงาน + เทคโนโลยี ซึ่งรวม ๆ เรียกว่า ความเสี่ยงในการดำเนินงาน หรือ PPT – People – Process – Technology และพิจารณาวางแผนการตรวจสอบ เพื่อปิด Gap ต่าง ๆ ที่อาจจะเกิดขึ้นจาก Lesson Learned จากกรณีของต่างประเทศ และภายในประเทศที่ได้เกิดขึ้นแล้ว เพื่อไม่ให้เกิดซ้ำอีกในองค์กรของเรา

10. พิจารณาในภาพโดยรวม จากปัจจัยต่าง ๆ ที่กล่าวข้างต้น รวมทั้ง แนวทางเพื่อลดต้นทุนภายในองค์กรที่อาจจะเกิดจากจุดอ่อน จากการละเลยมิได้มีการพิจารณานำหลักการของ GRC – Governance, Risk, Compliance ที่เป็นแนวการปฏิบัติที่ดี ภายใต้กรอบ CG และ ITG ซึ่งเป็นการบริหารและขับเคลื่อนในลักษณะ Integrity – Driven Performance ซึ่งจะช่วยลดต้นทุนในการดำเนินงาน และสร้างคุณค่าเพิ่มให้กับผู้มีผลประโยชน์ร่วม (Stakeholders) ได้เป็นอย่างดี

11. ประเมินศัยกภาพ (Competency) ของทรัพยากรภายในองค์กร โดยเฉพาะอย่างยิ่ง ภายในสายงานการตรวจสอบ ทางด้าน IT และ Non – IT ถึงความพร้อมในการปฏิบัติงานตรวจสอบ ให้ได้มาตรฐาน และสัมพันธ์กับความก้าวหน้าทางด้านเทคโนโลยีสารสนเทศ ที่พัฒนาไปอย่างรวดเร็ว และมีผลกระทบโดยตรงต่อความเสี่ยงที่จะก้าวไปสู่ความสำเร็จตามเป้าประสงค์ ตามหลักการของ Balanced Scorecard และกลยุทธ์ที่เกี่ยวข้องทั้ง 4 มุมมอง

12. สร้างดุลยภาพในการวางแผนการตรวจสอบ ตามข้อมูลข้างต้น และนำผลดังกล่าวไปใช้ในการปฏิบัติงานตรวจสอบ เพื่อให้ได้ผลตามเป้าประสงค์ของ Stakeholders และผู้บริหารที่เกี่ยวข้อง ตามสภาพแวดล้อมที่เป็นอยู่

สำหรับการปฏิบัติการตรวจสอบจริง ก็ควรพิจารณามุมมองในการสร้างคุณค่าเพิ่มให้กับ Stakeholders ที่ครอบคลุมหัวข้อต่าง ๆ ทั้งทางด้าน IT และ Non – IT ตามแผนภาพที่ได้แสดงไว้ข้างต้น และให้คำแนะนำที่เหมาะสมกับการจัดการตามมาตรฐานการตรวจสอบที่เกี่ยวข้อง และเป็นไปได้ต่อไป

ท่านผู้ตรวจสอบครับ จากประสบการณ์การตรวจสอบ ทั้งทางด้าน IT และ Non – IT ของผมในช่วงเวลาที่ผ่านมา จุดอ่อนที่สำคัญยิ่งขององค์กรและผู้ตรวจสอบก็คือ การจัดโครงสร้างขององค์กรไม่เหมาะสม ขาดการประสานงานที่เป็นรูปธรรม ระหว่างผู้ตรวจสอบทางด้าน IT และ Non – IT อย่างมีนัยสำคัญ ทำให้การใช้ทรัพยากรของผู้ตรวจสอบสูญเสียโดยเปล่าประโยชน์อย่างมาก และคำแนะนำในการสร้างคุณค่าเพิ่มให้กับ Stakeholders ก็เป็นไปอย่างจำกัด

ทั้งนี้เพราะ มีปัญหาจากมุมมองการบูรณาการ การตรวจสอบ ที่ได้ดุลยภาพ ที่สัมพันธ์กับวิสัยทัศน์ พันธกิจ กลยุทธ์ ที่ถ่ายทอดเป็นแผนปฏิบัติในระดับต่าง ๆ ซึ่งต่อไป องค์กรที่ใช้คอมพิวเตอร์อย่างมีนัยสำคัญในการดำเนินงาน เช่น สถาบันการเงินต่าง ๆ จะพบกับความท้าทายของเทคโนโลยีที่มีผลกระทบอย่างสำคัญยิ่ง ต่อ Business Process ที่จะก้าวไปสู่ Business Objective ต่าง ๆ ขององค์กร

สรุปอีกครั้งก็คือ คณะกรรมการและผู้บริหารขององค์กรต่าง ๆ ควรประเมินช่องว่างระหว่างศักยภาพของบุคลากร ที่ควรมีความรู้ขั้นต่ำที่จำเป็น ให้ได้มุมมองจาก IT Risks ที่มีผลต่อ Business Risks อย่างสำคัญ ซึ่ง C – Level ในระดับต่าง ๆ ควรเข้าใจผลกระทบต่อเทคโนโลยีที่สามารถระบุความเสี่ยงในมุมมองของงานที่ตนเองรับผิดชอบโดยตรง และจากมุมมองที่มีผลกระทบจากสายงานอื่น ๆ ที่เกี่ยวข้อง (Impact Risk) ที่ต้องร่วมด้วยช่วยกันในการบริหารแบบบูรณาการ จากจิตสำนึก (Conscience) ความรับผิดชอบ (Acountability) ในการบริหารงานที่พิจารณาจากกระบวนการทำงาน และผลลัพธ์ที่มีต่อองค์กรเป็นสำคัญ

 

ผลสอบการทุจริต กรณียักยอกเงิน 500 ล้านบาท ของ ธอส. (ต่อ)

สวัสดีครับ ในครั้งที่แล้วผมได้พูดคุยถึงเรื่องของการสอบผลการทุจริต กรณียักยอกเงินของธนาคารอาคารสงเคราะห์ จำนวน 500 ล้านบาท ซึ่งธนาคารได้ทำการตรวจสอบและเผยแพร่ผลของการทุจริต ดังที่ผมได้นำเสนอไปแล้วในบางส่วนถึงสาเหตุและปัจจัยที่ทำให้พนักงานก่อการทุจริต และในวันนี้ผมจะมาเล่าต่อว่า ทางธนาคารมีการดำเนินการอย่างไรบ้าง หลังจากที่เกิดเหตุการณ์ทุจริตดังกล่าวนี้แล้ว ไปติดตามกันต่อเลยครับ

ภายหลังเกิดการทุจริต ธนาคารได้ดำเนินการปรับปรุงการทำงานในด้านต่าง ๆ เพื่อป้องกันสาเหตุที่ก่อให้เกิดการทุจริต ซึ่งสามารถจัดกลุ่มได้ดังนี้

กลุ่มกำหนดระบบรักษาความปลอดภัยของระบบ
1. การใช้ MENU HXFER, TRTRAN, TM ทำงานกำหนดให้พนักงานที่มี Work Class ตั้งแต่เกรด 9 ขึ้นไป จึงจะทำรายการได้ 1 คน ทำหน้าที่บันทึกและอีก 1 คน ทำหน้าที่ Verify ขณะนี้อยู่ระหว่าง Set Up และทดสอบระบบเพื่อป้องกันการเข้าถึงหัวบัญชีของ GL ประเภทรายได้และค่าใช้จ่าย

2. ปรับปรุงวงเงิน เงินฝาก ถอน รายการโอน เคลียริ่ง และยอดเงินสะสมคงเหลือในมือของ Teller ระดับต่าง ๆ ใหม่ ให้มีวงเงินที่ลดลงจากเดิม

3. การทำรายการเกิน Limit ตามข้อ 2 ต้องมีการ Override รายงานโดยพนักงานเกรด 9 ขึ้นไป

4. ปรับปรุงการทำงานบันทึกรายการด้วย MENU HXFER และ TM (Transaction Maintenance) โดยกำหนดให้มีระบบควบคุมการทำรายการมี Marker Checker ทุกครั้งที่ทำรายการ

5. กำหนดหัวบัญชี GL ที่สำคัญให้เป็นหน้าที่ของ Checker ซึ่งเป็นพนักงานเกรด 9 ขึ้นไป ที่จะทำการ Post transaction เท่านั้น

กลุ่มปรับปรุงกระบวนการทำงาน
1. การหมุนเวียนพนักงานสาขาหลักไปทำงานที่ Booth/oss/สาขาย่อย สาขาหลักจะต้องทำแผนล่วงหน้า 1 เดือน ส่งให้ฝ่ายงานต้นสังกัดอนุมัติและส่งให้ CORE TEAM เพื่อปรับ Work Class

2. การขอสร้างเปลี่ยนแปลง/แก้ไข หรือยกเลิกรหัสผู้ใช้งานเพื่อเข้าสู่ระบบ CBS กำหนดให้ ผอ.ฝ่าย/สำนัก เป็นผู้อนุมัติตามแบบฟอร์มที่กำหนด

3. การปรับปรุงกระบวนงานปฏิบัติงานของสาขาทั้งหมด โดยแต่งตั้งคณะกรรมการกำหนดกระบวนงานปฏิบัติสาขา และคณะทำงานกระบวนการปฏิบัติงานสาขา อีก 3 คณะ เพื่อดำเนินการปรับปรุง งานการเงินสาขา งานบัญชีสาขา และงานสินเชื่อสาขา

กลุ่มการปรับปรุงรายงานและผลการตรวจสอบ
1. การตรวจสอบรายละเอียดของรายการที่ทำไปแล้ว กำหนดให้ USER ใช้เมนู TI (Transaction Inquiry) ตรวจสอบรายละเอียดของรายการ

2. สายงาน IT ได้ปรับปรุงการออกรายงานสรุปยอดเดินรายการประจำวันของแต่ละสาขา โดยฝ่ายวางแผนปฏิบัติการสารสนเทศจะเป็นผู้ RUN ข้อมูลก่อนประมวลผลสิ้นวัน และให้สาขาเรียกรายงานตรวจสอบยันยอดเปรียบเทียบกับยอดรวม ในรายการยอดเดินรายการประจำวันของแต่ละสาขา ที่ใช้กระทบยอดเมื่อวันก่อน หากมียอดแตกต่างให้ตรวจสอบหาสาเหตุจากหน้าจอ CBS ที่เกี่ยวข้อง

กลุ่มปรับปรุงระเบียบปฏิบัติงานและการอบรม
1. ธนาคารได้ปรับปรุงระเบียบปฏิบัติงานด้านการเงิน ซึ่งประกอบด้วยระบบเงินฝาก การกำหนดวงเงินรับจ่ายของสำนักงานพระราม 9 และสาขา การกำหนดวงเงินสดในเมือเกินอำนาจอนุมัติของพนักงาน การใช้เมนู TM และ MENU HXFER

2. ธนาคารได้จัดประชุมทำความเข้าใจ และหารือในเรื่องเกี่ยวกับการตรวจสอบรายงานทางการเงิน เพื่อป้องกันทุจริตเมื่อวันที่ 27 มิ.ย. 2552

คณะกรรมการสอบสวนสรุปไว้อย่างน่าสนใจว่า จะเห็นว่าการปรับปรุงข้างต้นเป็นการสะท้อนให้เห็นถึงปัญหาข้อบกพร่อง และความไม่พร้อมของระบบคอร์แบงกิ้ง (Core Banking System : CBS) อันเป็นสาเหตุของการทุจริตที่เกิดขึ้น ซึ่งสอดคล้องกับสาเหตุที่คณะกรรมการสอบสวนข้อเท็จจริงสรุป

สำหรับเรื่องการทุจริตของ ธอส. ที่ผมได้หยิบยกมาเล่าสู่กันฟังในที่นี้ ก็น่าจะเป็นกรณีศึกษาทางด้านการตรวจสอบที่ผู้ตรวจสอบและผู้บริหารองค์กรทั้งหลาย ควรตระหนักและหาทางป้องกันเหตุการณ์ความเสี่ยงที่จะเกิดขึ้น ไม่ว่าจะเป็นเหตุการณ์ในลักษณะเดียวกันหรือคล้ายคลึงกันนี้ได้เป็นอย่างดี

 

ผลสอบการทุจริต กรณียักยอกเงิน 500 ล้านบาท ของ ธอส.

ครั้งที่แล้วผมได้ทิ้งท้ายไว้ว่าจะมาพูดถึงเรื่องของผลสอบการทุจริต กรณียักยอกเงิน 500 ล้านบาท ของ ธอส. ที่ได้ตีพิมพ์ลงในหนังสือพิมพ์รายวันฉบับหนึ่ง โดยมีรายละเอียดเกี่ยวกับข้อเท็จจริงของผู้ทุจริตและการทุจริต รวมทั้งวิธีการทุจริตและสาเหตุที่ทำให้ผู้ทุจริตกระทำการทุจริตดังกล่าว ซึ่งผมมองว่ากรณีนี้น่าจะเป็นกรณีศึกษาที่สะท้อนให้เห็นภาพของการตรวจสอบ การทุจริต และการบริหารความเสี่ยง ตามที่ผมเคยได้กล่าวไว้ในครั้งก่อน ๆ ได้เป็นอย่างดี เราไปดูในรายละเอียดของผลการสอบที่ว่านี้กันดีกว่าครับ

ต่อจากนี้ไปเป็นรายงานผลสอบสวนของคณะกรรมการตรวจสอบข้อเท็จจริงชุดที่มี น.ส. โสภาวดี เลิศมนัสชัย เป็นประธานการตรวจสอบ ซึ่งได้ชี้ให้เห็นถึงจุดที่ผิดพลาดอย่างละเอียด รวมถึงการป้องกันปัญหาของธนาคารภายหลังที่เกิดเรื่อง

ประเด็นคำถามที่จะช่วยในการตรวจสอบ

ข้อเท็จจริงเกี่ยวกับผู้ทุจริตและการทุจริต
ประวัติผู้ทุจริต นายสมเกียรติ ปัญญาวรคุณเดช ตำแหน่งพนักงานธุรกิจสาขาอาวุโส เกรด 7 สาขาเซ็นหลุยส์ 3 อายุ 33 ปี ปฏิบัติงานเจ้าหน้าที่การเงินที่สาขาเซ็นหลุยส์เพียงสาขาเดียวเป็นเวลา 9 ปี ตั้งแต่วันที่ 1 ก.ย. 2542 ถึงปัจจุบัน จำนวนเงินที่ทุจริต 499,272,777.95 บาท โดยมีระยะเวลาที่ทำการทุจริต ตั้งแต่วันที่ 8 พ.ย. 2550 – 20 เม.ย. 2552

วิธีการทุจริตมี 2 แบบ ง่าย ๆ ไม่มีอะไรซับซ้อน
1. การปลอมสลิปถอนเงินจากบัญชีลูกค้า โดยการปลอมสลิปถอนเงินจากบัญชีเงินฝากประจำลูกค้าราย นางเล่งบ่าย รงคพรรณ จำนวน 2 บัญชี รวม 6 รายการ จำนวนเงินรวม 36.50 ล้านบาท ซึ่งเป็นการทำทุจริตระหว่างวันที่ 8 พ.ย. 2550 ถึงวันที่ 23 ม.ค. 2551

2. การสร้างรายการค่าใช้จ่ายประเภทบัญชีดอกเบี้ยจ่ายเงินฝากประจำของสำนักพระราม 9 และสาขาเซ็นหลุยส์ 3 จำนวน 419 รายการ จำนวนเงินรวม 499.27 ล้านบาท ทั้ง ๆ ที่ นายสมเกียติ ไม่มีเงินฝากประจำที่สาขาทั้ง 2 แห่งแต่อย่างใด และในขณะเดียวกัน นายสมเกียรติ ก็สร้างรายการฝากเงินเข้าบัญชีของตนเอง หรือผู้ที่เกี่ยวข้องในจำนวนเดียวกับดอกเบี้ยเงินฝากประจำที่สร้างขึ้นดังกล่าวข้างต้น ซึ่งเป็นการทำการทุจริตในช่วงหลัง Go Live โดยเริ่มตั้งแต่วันที่ 20 ก.พ. 2551 ถึง 20 เม.ย. 2552

สาเหตุที่ทุจริตได้สำเร็จ
1. นายสมเกียรติทำการปลอมเอกสารสลิปถอนเงินจากบัญชีเงินฝากของลูกค้า นอกจาก นายสมเกียรติ ที่เป็นผู้ทุจริตแล้ว พนักงานและผู้บริหารในสาขาละเลยไม่ระมัดระวังในการเก็บรักษารหัสส่วนตัว (Password) ให้เป็นความลับ ทำให้ นายสมเกียรติ นำไปใช้ Override รายการกระทำการทุจริตได้ ตลอดจนไม่ตรวจสอบรายงานการอนุมัติเกินอำนาจในวันรุ่งขึ้น จึงไม่พบความผิดปกติในการใช้ Password อนุมัติรายการจนเป็นเหตุสามารถทุจริตได้เป็นเวลานาน

2. นายสมเกียติทำการทุจริต โดยเข้าไปสร้างรายการดอกเบี้ยจ่ายในระบบบัญชี GL ของธนาคารได้จำนวน 499.27 ล้านบาท โดยมีปัจจัยมาจาก 2 ประการ คือ

ประการแรก ระบบงานโดยเฉพาะหน้าจอ (MENU) ที่ใช้ในการปรับปรุงดอกเบี้ยจ่ายและการทำรายการข้ามสาขาเปิดให้พนักงานทุกระดับ (Work Class) สามารถทำรายการได้ในบัญชี GL ของธนาคาร โดยไม่มีการอนุมัติผ่านรายการ (Verify) ซึ่งเป็นปัจจัยที่ช่วยให้ นายสมเกียรติ สามารถเข้าไปทำรายการดอกเบี้ยจ่ายในระบบงานบัญชี GL ของธนาคารได้

ประการที่ 2 สาขาของบัญชีดอกเบี้ยจ่ายไม่ตรวจสอบงบทดลองประจำวัน ซึ่งเป็นปัจจัยที่ช่วยให้ นายสมเกียรติสามารถทุจริตได้ต่อเนื่องเป็นเวลานาน ซึ่งทำให้มีมูลค่ารวมเสียหายสูง

วิธีการตรวจสอบระบบงาน

จากปัจจัย 2 ประการข้างต้น คณะกรรมการสามารถสรุปได้ คือ
1. ระบบงานโดยเฉพาะหน้าจอที่ใช้ในการปรับปรุงดอกเบี้ยจ่าย และการทำรายการข้ามสาขา หรือ MENU HXFER เปิดให้พนักงานทุกระดับสามารถทำรายการได้ในบัญชี GL ของธนาคาร โดยไม่มีการ Verify มีสาเหตุมาจาก

1.1. ธนาคารไม่ได้กำหนดสิทธิในการเข้าถึง MENU HXFER ทั้งที่เมนูดังกล่าวสามารถเชื่อมโยงกับงานบัญชี GL ของธนาคาร เนื่องจาก Architecture ของ CBS ระบบเก่าและใหม่แตกต่างกันอย่างมีสาระสำคัญ คือ ในระบบใหม่ได้รวมระบบ GL เข้าไว้ในระบบ ในขณะที่ระบบเดิมแยกระบบ GL ออกต่างหาก ซึ่งผู้ที่เกี่ยวข้องรับทราบประเด็นความแตกต่างดังกล่าว หากแต่ไม่ได้ตระหนักถึงความเสี่ยง หรือโอกาสที่จะก่อให้เกิดความเสียหาย หากไม่มีระบบการควบคุมที่เหมาะสม

1.2. ภายหลังจากการ Go Live แล้ว ธนาคารประสบปัญหาในการให้บริการ โดยเฉพาะธุรกรรมเงินฝาก ซึ่งระบบคิดดอกเบี้ยเงินฝากประจำที่จ่ายให้ผู้ฝากผิด จึงได้นำ MENU HXFER มาใช้ในการปรับปรุงรายการดอกเบี้ยจ่าย

1.3. ธนาคารได้กำหนดการปิดระบบของสาขา จะเป็นการปิด เปิดระบบจากส่วนกลางพร้อมกันทุกสาขา ซึ่งจะปิดระบบภายหลังจากที่เคาน์เตอร์การเงินปิดให้บริการแล้วในเวลาประมาณ 20.00 น. จึงเปิดโอกาสให้ นายสมเกียติ สามารถเข้าไปทำรายการทุจริตนอกเวลาทำการ

2. สำนักงานพระราม 9 และสาขาเซ็นหลุยส์ 3 ซึ่งเป็นเจ้าของบัญชีดอกเบี้ยจ่าย ไม่ได้ตรวจสอบงดทดลองประจำวัน มีสาเหตุจาก

2.1. ผู้ที่มีหน้าที่รับผิดชอบบริหารสาขาและผู้ที่ตรวจสอบบัญชีสาขาไม่ปฏิบัติหน้าที่ คือ ไม่ตรวจสอบรายงานทดลองประจำวัน หรือรายงานที่เกี่ยวข้อง ไม่ควบคุมดูแลการกระทบยอดประจำวัน ไม่ได้บริหารจัดการสาขา ควบคุม กำกับ ดูแลงบการเงินของตน กรณีเกิดความผิดปกติในงบการเงินเกี่ยวกับดอกเบี้ยจ่าย ถือเป็นค่าใช้จ่ายสำคัญของสำนักงานพระราม 9 และสาขาเซ็นหลุยส์ 3 อย่างมีสาระสำคัญให้ครบถ้วนตามที่ธนาคารกำหนด

2.2. ผู้ปฏิบัติไม่ได้รับการชี้แจงวิธิการปฏิบัติงานที่ถูกต้อง ครบถ้วนและไม่ได้รับการอบรมในเรื่องระบบ GL เพื่อให้ดูหัวบัญชีดอกเบี้ยจ่าย ซึ่งจากการสอบถามผู้ปฏิบัติก็ให้การยืนยันตรงกันว่าไม่ได้ดูหัวบัญชีดอกเบี้ยจ่าย อีกทั้งธนาคารไม่มีการฝึกอบรมผู้บริหารสาขาเพื่อเตรียมความพร้อมที่จำเป็นพื้นฐานในการบริหารสาขา

2.3. คู่มือปฏิบัติงานไม่มีความสมบูรณ์ในเรื่องการกระทบยอดงบทดลองประจำวัน และไม่ได้ปรับปรุงระเบียบที่เกี่ยวข้องกับบัญชี GL คือก่อน Go Live ธนาคารไม่ได้ปรับปรุงคู่มือปฏิบัติงานในเรื่องนี้ ต่อมาภายหลัง Go Live ก็ได้มีการปรับปรุงคู่มือการปฏิบัติงานเพื่อแก้ไขปัญหาที่ไม่สามารถปิดงบทดลองได้ลงตัว แต่ไม่มีคู่มือกระทบยอดรายวันเพื่อกระทบหัวบัญชีดอกเบี้ยจ่าย เนื่องจากเข้าใจว่าระบบจะประมวลผลตัวเลขที่ถูกต้อง ซึ่งสอดคล้องกับคำให้การของหัวหน้าบริหารจัดการสาขา

2.4. รายการสำคัญที่ใช้ในการกระทบยอดรายวัน ไม่อำนวยให้ผู้ปฏิบัติสามารถทำงานได้อย่างมีประสิทธิภาพ คือ รายงานที่ใช้กระทบยอดและตรวจสอบรายวันในระบบใหม่จะใช้รายงานรายการเกี่ยวกับตรวจเช็คต่าง ๆ ซึ่งเทียบได้กับรายงานในระบบเดิม 8 รายงาน และรายงานที่ใช้ตรวจประจำวัน ซึ่งเทียบกับรายงานระบบเดิม 5 รายงาน โดยปริมาณหน้าแต่ละวันของสำนักงานพระราม 9 มีมากกว่าพันหน้า ซึ่งรายงานดังกล่าว ได้รวมทั้งรายการที่เกิดขึ้นตามปกติและรายการที่ไม่ปกติ เช่น รายการที่มีการปรับปรุง การทำข้ามสาขาเข้าไว้ในรายงานเดียวกัน จึงทำให้เป็นการยากที่จะใช้เป็นเครื่องมือในการตรวจสอบ

 

ผลการสอบทุจริต “ธอส.” และข้อสังเกตในการบริหารความเสี่ยงเมื่อเทียบกับความเสียหายที่เกิดขึ้น ในบางมุมมอง

ก่อนผลการสอบข้อเท็จจริงกรณีการทุจริตที่ ธอส. จะเปิดเผยทางสื่อมวลชน ผมได้เคยกล่าวถึงกรณีทุจริตที่ ธอส. โดยกล่าวถึงหลักการกว้าง ๆ ว่า การทุจริตทุกประเภทมีเพียง 3 ประเด็นเท่านั้นที่ให้พิจารณา ก็คือ คน + กระบวนการทำงาน + เทคโนโลยี ที่ใช้คำย่อ ๆ ว่า PPT – People – Process – Technology

การประเมินตนเองของผู้บริหารในมุมมองของการควบคุม Operational Risk และ Business Risk

การประเมินตนเองของผู้บริหารในมุมมองของการควบคุม Operational Risk และ Business Risk

ผมขอทบทวนภาพที่คิดว่ามีคุณค่าอย่างยิ่ง สำหรับคณะกรรมการ รวมทั้งคณะกรรมการตรวจสอบของทุกองค์กร และอาจรวมถึงคณะกรรมการสอบสวนข้อเท็จจริง หากจะได้เห็นภาพที่ผมเคยแสดงไว้แล้ว และขอนำมาแสดงซ้ำอีกครั้ง เพื่อให้เกิดความเข้าใจความเสี่ยงจาก PPT ซึ่งเป็นความเสี่ยงในการดำเนินงาน และความเสี่ยงในการบริหารของทุกองค์กร ที่มีน้ำหนักโดยเฉลี่ยประมาณร้อยละ 70 ของความเสี่ยงประเภทอื่น ๆ ในการบริหารงานทั้งหมดขององค์กร

เพราะความเสี่ยงจากการจัดการที่แท้จริงในทุกระดับของการบริหารก็คือ ความเสี่ยงในการปฏิบัติการ หรือความเสี่ยงในการดำเนินงาน ซึ่งแท้จริงแล้ว อาจจะเรียกได้ว่าเป็นความเสี่ยงในการบริหารงานโดยแท้ ที่เกิดจาก PPT ในภาพโดยรวม อาจอธิบายได้โดยแผนภาพ ดังนี้

วิวัฒนาการจากมุมมองของ Operational Risk พัฒนาสู่ Business Risk ที่เชื่อมต่อเข้ากับการ Design และการกำหนด Strategy ที่ต้องเข้าใจถึง Culture และการบริหารทางด้าน Architecture ระหว่าง PPT กับ Design/Strategy

วิวัฒนาการจากมุมมองของ Operational Risk พัฒนาสู่ Business Risk ที่เชื่อมต่อเข้ากับการ Design และการกำหนด Strategy ที่ต้องเข้าใจถึง Culture และการบริหารทางด้าน Architecture ระหว่าง PPT กับ Design/Strategy

คณะกรรมการสอบสวนกรณีการทุจริต ของ ธอส. อาจใช้ Model ดังกล่าวในการไต่สวนหาข้อมูล และสารสนเทศในส่วนที่เกี่ยวข้องกับ PPT + Strategy ตามแผนภาพข้างต้น โดยนำปัจจัยต่าง ๆ ตามที่ปรากฎในการเชื่อมโยง 4 ประเด็นหลัก ๆ ซึ่งจะเกี่ยวข้องกับการบริหาร Operational Risk และการบริหารองค์กร แบบสอดประสานและบูรณาการ ตามองค์ประกอบหลักที่เกี่ยวข้องที่เชื่อมโยงด้วยการบริหารความเสี่ยงที่เกี่ยวเนื่อง คือ การหลอมรวม (Emergence) การบริหารความเสี่ยงในทุกมุมมองที่เกี่ยวข้องกับ S-O-F-C และ การบริหารทรัพยากรบุคคล และกลไกหรือตัวขับเคลื่อน รวมทั้งการสนับสนุนด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพ

ตามที่กล่าวข้างต้นคือภาพแรกของ PPT ที่เกี่ยวข้องกับการบริหาร Emergence, Human Factors and Enabling & Support อย่างสอดประสานและเป็นบูรณาการ ซึ่งในแต่ละองค์ประกอบหลักและองค์ประกอบย่อย จะมีกิจกรรมต่าง ๆ ที่เกี่ยวข้องและสัมพันธ์กันอย่างมกาในการขับเคลื่อนความสำเร็จ เพื่อก้าวไปสู่การมีประสิทธิภาพและประสิทธิผลของการดำเนินงานขององค์กร และถ้าตรงกันข้ามก็คือ ความเสี่ยงที่อาจก่อให้เกิดความเสียหายและก่อให้เกิดการทุจริตในองค์กรได้

จากรูปภาพที่ 2 ท่านผู้ที่สนใจในเรื่องการบริหารความเสี่ยง ซึ่งเป็นส่วนหนึ่งในการขับเคลื่อน CG + ITG และเป็นองค์ประกอบหลักของ GRC ที่ผมเคยเล่าสู่กันฟังสั้น ๆ ไปแล้วก่อนหน้านี้หลายตอนนั้น ท่านกำลังจะเห็นคุณค่าจากความเข้าใจในการบริหารภายใต้ร่มของการกำกับดูแลกิจการที่ดี ควบคู่กันไปกับการบริหารสารสนเทศเพื่อการจัดการที่ดี ที่สามารถสร้างความเชื่อมั่น สร้างความน่าเชื่อถือให้กับผู้มีผลประโยชน์ร่วม (Stakeholders) อย่างกว้างขวาง นี่คือ Value Creation ของกระบวนการจัดการที่ทุกองค์กรสามารถก้าวไปสู่จุดนี้ได้อย่างมั่นใจ หากองค์กรของท่านมีความเข้าใจในกระบวนการบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ที่สามารถวัดคุณค่าเพิ่มได้จาก Intangible Assets และ Tangible Assets ซึ่งนับวันคุณค่าเพิ่มจากการบริหาร Intangible Assets จะมีบทบาทเพิ่มขึ้นอย่างมากในทุกองค์กร ขณะเดียวกันก็สร้างจุดอ่อนเป็นอย่างยิ่งให้กับหลายองค์กรที่ขาดความพร้อมทางด้านการบริหารและการจัดการ PPT อย่างแท้จริง

ในกรณี ธอส. หากจะมีการวิเคราะห์กระบวนการบริหารความเสี่ยง ตั้งแต่นโยบาย ลงมาถึงการปฏิบัติการและการตรวจสอบ ตามหลักการบริหารความเสี่ยงของกรอบ COSO – ERM อย่างน้อยก็จะพบกับข้อสังเกตและจุดอ่อนของกระบวนการทำงาน ที่ปรากฎในรายงานของ คณะกรรมการตรวจสอบข้อเท็จจจริงของ ธอส. ที่ปรากฎตามข่าวหนังสือพิมพ์ ซึ่งผมจะขอนำมาเปรียบเทียบพื่อการศึกษาให้แก่ท่านผู้ที่สนใจในครั้งต่อไป

จากแผนภาพที่ 2 ซึ่งเชื่อมโยงกระบวนการบริหารจัดการด้าน PPT ไปสู่กระบวนการออกแบบระบบ และการกำหนดกลยุทธ์ขององค์กรที่มีความเกี่ยวข้องกับข้อสังเกตของคณะกรรมการตรวจสอบข้อเท็จจริงของ ธอส. เป็นอย่างมาก ถึงกรณีระบบ CBS – Core Banking System ที่มีกระบวนการทำงาน (Process) ที่มีจุดอ่อนหลายประการผสมผสานกับบุคลากรที่ไม่จงรักภักดีต่อองค์กร รวมทั้งกระบวนการบริหารขององค์กรที่น่าจะปรับปรุงได้หลายประการนั้นเป็นต้นเหตุสำคัญ (Root Cause) ของการทุจริตใน ธอส. ทั้งสิ้น

จากแผนภาพข้างต้น หากทำเป็นกรณีศึกษา (Case Study) ก็จะพบประเด็นต่าง ๆ ที่มีกระบวนการบริหารความเสี่ยงที่ขาดดุลยภาพและคุณภาพในการจัดการ ตามหลักการของ COSO – ERM หลายประการ

ขอได้โปรดติดตาม ผลสอบการทุจริต กรณียักยอกเงิน 500 ล้านบาท ของ ธอส. ในตอนต่อไปนะครับ

 

แผนกลยุทธ์การตรวจสอบและกรอบการตรวจสอบภายในขององค์กรโดยทั่วไป

ครั้งที่แล้วผมได้นำเสนอกรอบการตรวจสอบเรื่องการทุจริต และตั้งใจว่าจะตามด้วยสัญญาเตือนภัยของเหตุการณ์ที่อาจก่อให้เกิดการทุจริต (Red Flag) ได้ อย่างไรก็ดี เพื่อให้ท่านผู้อ่านที่ติดตามเรื่องการตรวจสอบทางด้าน IT และ Non – IT Audit ได้ทราบถึงหัวข้อของแผนกลยุทธ์การตรวจสอบและกรอบการตรวจสอบภายในขององค์กรโดยทั่วไป ผมจึงจะขอนำเสนอและอธิบายด้วยแผนภาพ เพื่อให้เกิดความเข้าใจและติดตามได้โดยง่าย

Internal Auditing Standards and Auditors & CEA

Internal Auditing Standards and Auditors & CEA

มาถึงจุดนี้ ท่านผู้อ่านโดยเฉพาะอย่างยิ่ง ผู้ตรวจสอบภายในและผู้บริหารงานตรวจสอบภายในก็ยังไม่เห็นภาพการแบ่งแยก งานการตรวจสอบทางด้าน IT Audit และ Non – IT Audit ที่ชัดเจน ทั้งนี้เพราะการเข้าใจในลักษณะการปฏิบัติงานของหน่วยงานรับตรวจ รวมทั้งขอบเขตและเป้าประสงค์ในการตรวจสอบ เป็นเรื่องจำเป็นที่จะต้องทำความเข้าใจกระบวนการประมวลข้อมูลด้วยคอมพิวเตอร์ เพื่อให้แน่ใจอย่างสมเหตุสมผลว่า หากผู้ตรวจสอบได้รับมอบหมายให้ปฏิบัติงานตรวจสอบภายใน ในลักษณะที่เป็น manual ซึ่งไม่ใช่เป็นงานทางด้าน IT Audit ผู้ตรวจสอบก็ยังจำเป็นจะต้องศึกษาความน่าเชื่อถือของข้อมูลและสารสนเทศ ที่ประมวลโดยระบบคอมพิวเตอร์ก่อนวางแผนการตรวจสอบในขั้นตอนต่อไป

Lists the phases of a typical audit and Auditors

Lists the phases of a typical audit and Auditors

ในขั้นตอนนี้ สำหรับผู้ตรวจสอบที่ต้องการตรวจสอบภายในที่ไม่เกี่ยวข้องกับทางด้าน IT Audit อาจศึกษาแนวทางการตรวจสอบภายในของ สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย ที่ร่วมกับ ตลาดหลักทรัพย์แห่งประเทศไทย จัดทำหนังสือแนวทางการตรวจสอบภายในขึ้นมา 2 เล่ม ที่ครอบคลุมภาพรวมของการตรวจสอบภายใน กระบวนการตรวจสอบ เทคนิคการตรวจสอบ และการบริหารงานตรวจสอบภายใน ซึ่งจัดทำได้ดีและเข้าใจได้ง่ายที่ผู้ตรวจสอบและผู้บริหารงานตรวจสอบ โดยเฉพาะงานตรวจสอบที่ไม่เกี่ยวข้องกับ IT Audit หรือเกี่ยวข้องในลักษณะเป็นพื้นฐานเบื้องต้น สามารถใช้หนังสือดังกล่าวในการศึกษาเพื่อปฏิบัติงานตรวจสอบภายในได้เป็นอย่างดี

ผมเองจะมุ่งให้คำอธิบายและแนะนำแนวทางการตรวจสอบที่ผสมผสานระหว่าง IT Audit และ Non – IT Audit ที่อาจไม่ได้กล่าวไว้ในหนังสือแนวทางดังกล่าวข้างต้น เพื่อให้เกิดความเข้าใจในอีกมุมมองหนึ่ง

Lists the phases of a typical audit and Auditors

Lists the phases of a typical audit and Auditors

เพื่อเป็นการสะท้อนถึงแนวทางดังกล่าว ผมจึงจะขอนำเสนอคำอธิบายในรูปแบบเป็น Slide ที่สามารถพิจารณาในรายละเอียดและสร้างความเข้าใจได้ลึกซึ้ง และเป็นกระบวนการที่ดีมากกว่าคำอธิบายเป็นลายลักษณ์อักษร ยกเว้นในกรณีจำเป็นที่เห็นว่าจะเป็นประโยชน์ต่อท่านผู้บริหารงานตรวจสอบภายใน และผู้ปฏิบัติงานการตรวจสอบภายใน ผมจึงจะยกตัวอย่างและอธิบายในรายละเอียด ซึ่งเป็นลายลักษณ์อักษรมากขึ้น

วันนี้ เราลองมาดูแผนภาพที่แสดงเป็น Slide ต่าง ๆ ให้ท่านได้ดู ซึ่งพยายามที่จะจัดลำดับให้ท่านผู้อ่านได้ติดตามและทำความเข้าใจได้ง่าย ดังที่เสนอในแผนภาพข้างต้นตามลำดับนะครับ

Risk-based Audit Approach and Auditors

Risk-based Audit Approach and Auditors

สำหรับการตรวจสอบการปฏิบัติการ โดยเฉพาะอย่างยิ่งการตรวจสอบที่เกี่ยวกับความเสี่ยงทางด้านผู้บริหาร และพนักงาน (People Risk) กระบวนการดำเนินงาน (Process Risk) และเทคโนโลยี (Technology Risk) ซึ่งเป็นเรื่องที่มีความสำคัญมาก โดยเฉพาะอย่างยิ่ง ธนาคารแห่งประเทศไทย ก็ให้ความสำคัญและให้น้ำหนักของกระบวนการตรวจสอบด้าน Operational Risk ซึ่งจะมีผลอย่างสำคัญต่อ Management Risk ที่มีผลกระทบต่อองค์กรในวงกว้าง และบางกรณีมีผลกระทบไม่เฉพาะหน่วยงานใด หน่วยงานหนึ่ง แต่มีผลกระทบต่อระบบงานและสังคมในภาพใหญ่เลยทีเดียว

Understand the Control Environment and Flow of Transactions

Understand the Control Environment and Flow of Transactions

สำหรับการตรวจสอบและประเมินศัยกภาพการปฏิบัติตาม Compliance ขอให้ท่าน CAE และผู้ตรวจสอบทุกท่าน ได้โปรดอย่าลืมว่า การบริหารเพื่อสร้างคุณค่าเพิ่มในลักษณะของ GRC ซึ่งเป็นกระบวนการขับเคลื่อนระบบบริหารแบบบูรณาการทั่วทั้งองค์กร ที่เรียกว่า Integrity – Driven Performance และเป็น A New Strategy for Success ผ่านกระบวนการ GRC ซึ่งเป็นแนวทางปฏิบัติของการบริหารยุคใหม่ที่เปลี่ยนคำจำกัดความในการบรรลุเป้าหมาย โดยมุ่งเน้น Stakeholders แทน Shareholders และได้เพิ่มการปฏิบัติตามมาตรฐาน และการสร้างจริยธรรมทางธุรกิจในการบริหารอย่างเป็นกระบวนการ ตามที่ผมได้กล่าวไว้ในหัวข้อ GRC ในวันนี้และในวันต่อ ๆ ไปนั้น ขอให้ท่านผู้บริหารงานตรวจสอบได้ลองติดตามดูว่า หากท่านจะวางแผนการตรวจสอบการบริหารงานยุคใหม่ที่ใช้กรอบของ GRC เป็นหลักแล้วละก็ ท่านควรจะวางแผนและปฏิบัติงานตรวจสอบเช่นใดจึงจะเหมาะสมนะครับ

 

การพัฒนาระบบเทคโนโลยีสารสนเทศที่มีจุดอ่อนและอาจนำไปสู่ความเสียหาย (ต่อ)

วันนี้เรามาต่อกันในส่วนของการจัดการและการควบคุมจุดอ่อนของการพัฒนาระบบงานเทคโนโลยีสารสนเทศบางประการกันครับ

การจัดการ/การควบคุมบางประการ
1. 1) กำหนดประเภทของกิจกรรม (Activities) และเป้าหมายหลัก (Objectives) ในการพัฒนาระบบงานให้เป็นมาตรฐานทันกับเหตุการณ์
2) ให้ผู้บริหารระดับสูงและผู้ใช้ข้อมูลทบทวนและประเมินผลงานทุกขั้นตอนของการพัฒนาระบบงาน เมื่อพบว่ามีข้อที่ไม่สมเหตุสมผลอย่างร้ายแรงในขั้นตอนใด ให้สั่งหยุดการพัฒนาขั้นตอนถัดไปทันทีจนกว่าจะแก้ไขแล้ว/หรือ
3) ผู้บริหารระดับสูงอาจมอบหมายให้ผู้ตรวจสอบภายในของ องค์กรเป็นผู้ทำหน้าที่ทบทวนและประเมินผลขั้นตอนของการพัฒนาระบบงาน โดยเฉพาะความเหมาะสมของการควบคุมภายในของระบบงานการตรวจสอบและการมี Automated Solutions อย่างเหมาะสมและทันเวลา

2. 1) กำหนดประเภทของกิจกรรม (Activities) และเป้าหมายหลัก (Objectives) ในการพัฒนาระบบงานให้เป็นมาตรฐานจากผู้ที่เข้าใจจริง
2) ให้ผู้บริหารระดับสูงขององค์กรหรือมอบหมายให้ผู้ตรวจสอบภายในทำหน้าที่ทบทวนและประเมินผลทุกขั้นตอนของการพัฒนาระบบงานทุกระบบ

3. 1) การจ้างบุคคลที่ได้รับการอบรมและฝึกฝนทางด้านนี้โดยเฉพาะหรือส่งพนักงานที่มีอยู่ไปเข้ารับการอบรมและฝึกฝนทางด้านเทคนิคเพิ่มเติมภายในและภายนอกอยู่เสมอ
2) ให้จัดทำเอกสารประกอบการวิเคราะห์ทุกขั้นตอน :-
2.1) รายงานการศึกษาระบบงาน
2.2) รายงานความต้องการของระบบงาน
2.3) รายงานเกี่ยวกับเทคนิค
2.4) แผนการสร้างระบบงาน ฯลฯ
3) ให้ผู้ใช้ข้อมูลเป็นผู้ทดสอบระบบงานหรือที่เรียกว่า Acceptance Test หรืออาจมอบหมายให้ผู้ตรวจสอบ ภายในเป็นผู้ทำหน้าที่ทดสอบระบบงาน

4. 1) ให้ผู้ใช้ข้อมูลหรือผู้ตรวจสอบภายในเป็นผู้ทำหน้าที่ทดสอบระบบงาน (Acceptance Test)
2) ให้ผู้ออกแบบระบบงานจัดทำเอกสารประกอบโดยละเอียด

5. 1) การว่าจ้างบุคคลที่มีความสามารถเฉพาะหรือส่งพนักงานที่มีอยู่ไปเข้ารับการอบรมและฝึกฝนทางด้านเทคนิคเพิ่มเติมอยู่เสมอ
2) มอบหมายให้ผู้ควบคุมระบบงานด้านการวิเคราะห์และการเขียนโปรแกรมทบทวนผลลัพธ์ของการดำเนินงานพัฒนาระบบทุกขั้นตอน ก่อนส่งให้ฝ่ายบริหารและผู้ใช้ข้อมูลให้ความเห็นชอบ
3) ให้ผู้ใช้ข้อมูลหรือผู้ตรวจสอบภายในเป็นผู้ทำหน้าที่ทดสอบความถูกต้องของระบบงาน

6. 1) การกำหนดให้ผู้บริหารโครงการพัฒนาระบบใหม่ (Project Leader) จัดทำแผนและตารางการปฏิบัติงาน แต่ละโครงการ (Project Planing) และการมอบหมายงานให้พนักงานที่อยู่ในความรับผิดชอบการประเมินผลงานและการรายงานความคืบหน้าของ โครงการ (Status report)
2) มอบหมายให้ผู้ควบคุมงาน ทบทวนผลลัพธ์ที่ได้จากงานทุกขั้นตอน
3) มอบหมายให้ผู้ตรวจสอบภายในหรือผู้ออกแบบระบบงานทบทวนระบบงานนั้นอีกครั้งหลังจากที่ปล่อยให้ใช้กับงานจริงแล้ว 3 – 6 เดือน เพื่อค้นหาข้อผิดพลาดที่ยังหลงเหลือ เช่น เสียค่าใช้จ่ายในการปฏิบัติงานมากเกินไป

7. 1) ให้ฝ่ายพัฒนาระบบงานจัดทำแผนในการพัฒนาระบบงานประเมินผลงานตามที่ปรากฏในแผน และจัดทำรายงานความคืบหน้าของโครงการเพื่อเสนอต่อฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูง
2) ให้ฝ่ายพัฒนาระบบงานจัดทำเอกสารประกอบการปฏิบัติงานทุกขั้นตอนโดยละเอียดและเรียบร้อย เพื่อส่งให้ฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูงทบทวนได้ทุกขณะเมื่อมีปัญหาเกิดขึ้น

8. 1) ให้ฝ่ายบริหารระดับสูงและผู้ใช้ข้อมูลทบทวนผลลัพธ์ที่ได้จากการพัฒนาระบบงานทุกขั้นตอน เมื่อเห็นว่าขั้นตอนใดมีผลลัพธ์ต่างไปจากที่ต้องการมากหรือไม่เหมาะสมกับสถานการณ์ในขณะนั้นให้สั่งระงับการพัฒนาระบบงานนั้นทันที หรือ
2) มอบหมายให้ผู้ตรวจสอบภายในกระทำหน้าที่แทน ภายใต้การรับผิดชอบของผู้บริหารระดับสูง

9. 1) ให้จัดทำเอกสารประกอบการพัฒนาระบบงานทุกขั้นตอนอย่างละเอียดและเรียบร้อย
2) ให้ฝ่ายบริหารระดับสูงและผู้ใช้ข้อมูลทบทวน
3) หรือมอบหมายให้ผู้ตรวจสอบภายในมีส่วนในการพัฒนาระบบงานแต่เริ่มแรก
4) หรือมอบหมายให้ผู้ตรวจสอบภายในทดสอบระบบงานนี้ก่อนนำออกไปใช้งานจริง

10. 1) ให้ฝ่ายพัฒนาระบบงานจัดทำเอกสารประกอบทุกขั้นตอนอย่างละเอียดและเรียบร้อย
2) มอบหมายให้ผู้ตรวจสอบภายในทดสอบระบบงานนั้นก่อนนำออกไปใช้งานจริง
3) ให้บริหารฝ่ายพัฒนาระบบงานทบทวนความถูกต้องทางด้านเทคนิคทั้งหมด
4) การจัดทำเอกสารประกอบระบบงานโดยละเอียดทั้งหมด

11. 1) ให้ฝ่ายพัฒนาระบบงานจัดทำแผนงานและเป้าหมายของงานแต่ละขั้น เพื่อเป็นแนวทางในการปฏิบัติงานแก่พนักงานที่เกี่ยวข้อง
1.1) System Planing Steps
1.2) Development Steps
1.3) Implementation Steps
2) ให้ฝ่ายพัฒนาระบบงานทบทวนความถูกต้องทางด้านเทคนิคทั้งหมด
3) มอบหมายให้ผู้ตรวจสอบภายในเข้าไปร่วมในการพัฒนาระบบงานและทดสอบความถูกต้องของระบบงานนั้นก่อนนำออกไปใช้งานจริง
4) ให้ฝ่ายพัฒนาระบบงานทบทวนความถูกต้องของระบบงานนั้นอีกครั้งเมื่อปล่อยให้ใช้กับงานจริงแล้ว 3 – 6 เดือน
5) ให้จัดทำเอกสารประกอบระบบงานโดยละเอียดทั้งหมด

 

การพัฒนาระบบเทคโนโลยีสารสนเทศที่มีจุดอ่อนและอาจนำไปสู่ความเสียหาย

แน่นอนละครับว่า การปฏิบัติงานต่าง ๆ ทางด้านคอมพิวเตอร์ การพัฒนาระบบงาน รวมถึงจุดอ่อนของการพัฒนาระบบงานด้านเทคโนโลยีสารสนเทศ อาจก่อให้เกิดการทุจริตในรูปแบบต่าง ๆ ได้ ฉะนั้น ผมว่าการปฏิบัติงานในเชิงป้องกันปัญหาก่อนที่ปัญหาจะเกิดย่อมดีกว่าการที่ปล่อยให้เกิดปัญหาแล้วมาแก้ไขในภายหลังครับ

ขั้นตอนการพัฒนางานโดยองค์กรเองหรือว่าจ้างผู้เชี่ยวชาญภายนอก รวมทั้งการ Customize หรือ Modify โปรแกรมสำเร็จรูปเพื่อการใช้งานทั่วไป อาจสร้างปัญหาให้องค์กรได้ โดยมีเหตุการณ์/การกระทำบางประการที่จะสร้างความเสียหายให้กับองค์กร ซึ่งมีแนวทางการควบคุมและจัดการกับความเสี่ยงได้ระดับหนึ่งดังนี้

ความเสี่ยงจากเหตุการณ์และ/หรือการกระทำ
1. การวิเคราะห์และประเมินผลได้และเสียที่เกิดจากการเปลี่ยนแปลงภายนอก ทั้งทางด้านเทคโนโลยี นวัตกรรมต่าง ๆ ของบุคลากร การควบคุม การตรวจสอบ การบริหารความเสี่ยงที่ไม่เหมาะสม และไม่อาจตอบสนองความต้องการหรือกลยุทธ์และเป้าหมายที่เปลี่ยนแปลงไปได้ทันเวลา

2. ผู้บริหารระดับอาวุโสละเลยความรับผิดชอบและการตัดสินใจที่เกี่ยวข้องกับการพัฒนาระบบงานโดยอ้างเหตุผลว่าเป็นเรื่องทางเทคนิค เกินกว่าจะทำความเข้าใจได้ และมิได้มอบหมายให้มีกระบวนการพัฒนางานอย่างมีระบบที่ต้องมีการประเมินงานทุกขั้นตอน

3. ผู้วิเคราะห์ระบบงานไม่เข้าใจระบบงานและความต้องการของผู้ใช้ข้อมูล (Users) ดีพอ รวมทั้งการใช้เทคนิคทางการประมวลข้อมูลที่ไม่เหมาะสม ซึ่งจะส่งผลให้คู่มือการปฏิบัติงานและโปรแกรมงานขาดสาระที่สำคัญไปหรือเกินความเป็นจริง

4. การออกแบบระบบงานผิดพลาด ทั้ง ๆ ที่มีรายละเอียดความต้องการของผู้ใช้ข้อมูลและด้านเทคนิคครบถ้วน สาเหตุประการหนึ่งเนื่องมาจากการใช้วิจารณญาณที่ต่างกันของผู้ออกแบบระบบงานแต่ละคน

5. พนักงานที่มีส่วนในการออกแบบระบบงานไม่มีความสามารถ หรือในกรณีที่ซื้อโปรแกรมสำเร็จรูปมาใช้งาน ก็ได้มีการ Modify และ/หรือ Customize ระบบงานหลักที่ต้องมีการปรับเปลี่ยนกระบวนงานปฏิบัติงานของโปรแกรมหลักให้สอดคล้องกับการปฏิบัติงานแบบเดิม ๆ ที่ผู้ใช้เคยชิน

6. ผู้วิเคราะห์ระบบงานและผู้เขียนโปรแกรมออกแบบระบบงานและโปรแกรมตามความพอใจของตนเอง โดยไม่คำนึงถึงผู้ใช้ข้อมูลซึ่งเป็น เจ้าของระบบงาน หรือคิดว่าตนเองเข้าใจความต้องการดีกว่าผู้ใช้ข้อมูลเอง จนบางครั้งการออกแบบระบบงานที่ยากเกินความสามารถของผู้ใช้ข้อมูลหรือ

ในกรณีองค์กรซื้อโปรแกรมสำเร็จรูปมาใช้งาน แต่ผู้ใช้ไม่เข้าใจ “function” การทำงานต่าง ๆ ดีพอ จึงมีความพยายามในการ “Modify” และ/หรือ “Customize” ระบบงานใหม่

7. การสื่อสารความเข้าใจระหว่างฝ่ายพัฒนาระบบงาน ฝ่ายผู้ใช้ข้อมูลและฝ่ายบริหารระดับสูงอยู่ในสภาพที่ใช้ไม่ได้ หรือต้องปรับปรุงอีกมาก

8. ไม่ได้วางหลักเกณฑ์ไว้ว่าเมื่อใดจึงควรจะหยุดการพัฒนาระบบนั้นได้แล้ว เช่น การคาดคะเนค่าใช้จ่ายไว้ต่ำเกินไปมาก ความต้องการของหน่วยงานเปลี่ยนแปลงไป หรือมีกฎหมายใหม่ ๆ เกิดขึ้น จะมีผลทำให้ได้รับผลประโยชน์ไม่คุ้มกับค่าใช้จ่ายที่เสียไป

9. มีช่องทางล่อใจให้พนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานบางคนพยายามสร้างวิธีการคดโกงหรือทำลายระบบงานนั้นระหว่างการพัฒนาระบบงาน เช่น ผู้เขียนโปรแกรมอาจเขียนบางส่วนของโปรแกรมให้สามารถล่วงล้ำการควบคุมของโปรแกรมระบบงานอื่นเพื่อประโยชน์ของตนเอง โดยวิธีนี้ผู้เขียนโปรแกรมไม่จำเป็นต้องเข้าไปในศูนย์คอมพิวเตอร์ก็สามารถฉ้อฉลข้อมูลได้

10. ระบบงานซึ่งไม่สามารถปรับปรุงแก้ไขทางด้านเทคนิคหรือทางด้านค่าใช้จ่ายให้เหมาะสมกับความต้องการขององค์กรที่เปลี่ยนแปลงไป ซึ่ง เท่ากับเป็นการบีบบังคับหรือกดให้องค์กรอยู่ในสภาพเช่นนั้นตลอดไม่สามารถปรับตัวให้ทันต่อสภาวะแวดล้อมที่เปลี่ยนแปลงไป

11. 1) แนวความคิดและความเข้าใจของพนักงานผู้มีส่วนร่วมในการพัฒนาระบบงานแต่ละคนแตกต่างกัน ทำให้ผลลัพธ์ที่ได้ไม่บรรลุเป้าหมาย
2) ไม่เข้าใจในภาพรวมถึงผลกระทบของการเปลี่ยนแปลง รวมทั้งการไม่เชื่อมโยงความสัมพันธ์ของผลกระทบต่าง ๆ จากการเปลี่ยนแปลงไว้ด้วยกันทั่วทั้งองค์กร

ความเสียหายที่อาจเกิดขึ้นได้
1. สูญเสียค่าใช้จ่ายเกินความจำเป็น เนื่องจากการพัฒนาระบบงานไม่คุ้มค่า (Unjustified systems) และไม่ก่อให้เกิดประโยชน์ต่อการ แข่งขันในทางธุรกิจอันเนื่องมาจากการพัฒนาระบบงานที่มิได้สนองตอบความต้องการขององค์กรที่สอดคล้องกับการเปลี่ยนแปลง

2. นอกจากจะสูญเสียค่าใช้จ่ายและไม่ก่อให้เกิดประโยชน์ทางด้านการแข่งขันแล้ว ยังทำให้ฝ่ายบริหารขององค์การตัดสินใจผิดพลาดด้วยจากระบบงานที่ไม่เอื้ออำนวยให้มี “สารสนเทศ” ที่เหมาะสมเพื่อการบริหารและการจัดการที่ดีด้วย

3. สูญเสียค่าใช้จ่ายและทำให้ฝ่ายบริหารตัดสินใจผิดพลาดได้ในขั้นตอนที่สำคัญ ๆ ซึ่งจะมีความเสียหายตามมาจากความเสี่ยงต่าง ๆ ที่เกิดขึ้นได้อีกมาก

4. การบันทึกข้อมูลทางบัญชีผิดพลาดจาก Logic หรือใช้ระบบการบัญชีที่ไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาดหรือเสียค่าใช้จ่ายในการประมวลผลเกินความจำเป็น

5. การบันทึกข้อมูลทางบัญชีผิดพลาดหรือระบบบัญชีไม่เป็นที่ยอมรับกันโดยทั่วไป ทำให้ผู้บริหารตัดสินใจผิดพลาดหรือเสียค่าใช้จ่ายเกินความจำเป็น โดยเฉพาะการ Up-date ระบบงานหลักในภายหลัง โดย Supplier ไม่อาจดำเนินการได้ตามมาตรฐานที่ควรจะเป็นหากมีการ Modify/Customize โปรแกรมหลัก ๆ

6. สูญเสียค่าใช้จ่ายในการพัฒนาระบบงานโดยไม่ได้รับผลประโยชน์ใด ๆ เนื่องจากผู้ใช้ข้อมูลไม่สามารถปฏิบัติงานตามที่ออกแบบไว้ได้ ทำให้ระบบงานนั้นถูกละเลยโดยสิ้นเชิง หรือทำให้การประกอบธุรกิจขององค์กรชะงักงันได้

สำหรับความเสียหายที่เกิดจากการ “Modify” และ/หรือ การ “Customize” นั้นก็อาจเกิด “จุดอ่อน” ตามมาได้มากมายและเกินกว่าที่ผู้บริหารและ Users จะคาดคะเนได้

7. 1) การตัดสินใจผิดพลาด
2) ผลตอบแทนการพัฒนา
3) ระบบงานใหม่ไม่คุ้มค่า
4) เสียประโยชน์จากการแข่งขัน
5) การประมวลผลหยุดชะงัก
6) ค่าใช้จ่ายมากเกินไป
7) การทุจริต
8) การประมวลผลผิดพลาด
9) การบันทึกบัญชีไม่ถูกต้อง

8. 1) สูญเสียค่าใช้จ่ายไปโดยไม่ได้รับประโยชน์คุ้มค่า
2) ใช้ IT ไม่สอดคล้องกับความต้องการของธุรกิจ/องค์กร
3) ใช้ IT ไม่คุ้มค่า

9. 1) การบันทึกข้อมูลทางบัญชีผิดพลาดก่อให้เกิดการทุจริต หรือทรัพย์สินสูญหายหรือถูกทำลาย
2) อาจมีความเสียหายที่เกิดขึ้นได้ ตามที่กล่าวมาแล้วข้างต้น

10. 1) สูญเสียค่าใช้จ่ายโดยไม่ได้รับประโยชน์คุ้มค่าและอาจต้องพัฒนาระบบงานขึ้นใหม่ทั้งหมด แทนที่จะเปลี่ยนแปลงเพียงบางส่วน ซึ่งจะทำให้เสียค่าใช้จ่ายเพิ่มมากขึ้น
2) เกิดปัญหาซ้ำซาก ทำให้องค์กรตกอยู่ในวังวนของปัญหาต่างๆ
3) ปัญหาอื่น ๆ ตามที่ได้กล่าวมาแล้วเกือบทุกข้อ

11. 1) การบันทึกข้อมูลทางบัญชีอาจผิดพลาดสูญเสียค่าใช้จ่ายไปโดยไม่ได้รับผลประโยชน์คุ้มค่า และยังอาจทำให้ธุรกิจขององค์กรชะงักงันได้
2) การไม่เข้าใจผลกระทบของเทคโนโลยีสารสนเทศในภาพโดยรวม อาจก่อให้เกิดความเสียหายต่าง ๆ ได้ ตามที่ได้สรุปมาในข้อต้น ๆ ได้ทั้งหมด

ครั้งหน้าไปต่อในส่วนของการจัดการและการควบคุมจุดอ่อนของการพัฒนาระบบงานด้านเทคโนโลยีสารสนเทศบางประการกันครับ

 

Control Self Assessment – CSA กับการควบคุมความเสี่ยงจากการทุจริตและบทบาทของผู้บริหาร

มีท่านผู้อ่านจำนวนหนึ่งกำลังติดตามความคืบหน้าของการเปิดเผยข้อมูล จากการทุจริตของสถาบันการเงินต่าง ๆ ที่อยู่ระหว่างการเปิดเผยของผู้บริหารระดับสูงขององค์กรเหล่านั้น ซึ่งท่านผู้อ่านอาจจะติดตามได้โดยตรง สำหรับผมเพียงแต่จะให้ข้อสังเกตบางมุมมองของการป้องกันความเสี่ยงในเชิงรุก และการติดตามช่องว่างที่เป็นจุดเปิดที่อาจก่อให้เกิดการทุจริตได้ (Exposure) โดยให้หน่วยงานที่เกี่ยวข้องกับสถาบันการเงินต่าง ๆ ร่วมกับสถาบันการเงินนั้น ๆ ทำการประเมินตนเองว่าองค์กรของตนมีความพร้อม หรือมีจุดอ่อนอะไรบ้าง ที่อาจเกิดจาก People Risk – P, Process Risk – P, และ Technology Risk – T ซึ่งเป็นองค์รวมหลักของ Operational Risk ของทุกองค์กร

สำหรับวันนี้ ผมขอ update ข้อมูลซึ่งหลุดหายไปจากระบบ จากการที่ผมได้เล่าสู่กันฟังเมื่อวันที่ 6 มิถุนายน 2552 ผมขอเริ่มต้นใหม่ที่มีเนื้อหาไม่แตกต่างกับหลักการเดิมที่ได้ให้ข้อสังเกตไปแล้ว โดยเน้นเทคนิคการตั้งคำถาม เพื่อหาคำตอบ และตั้งคำถามใหม่จากคำตอบนั้น ๆ จนบรรลุเป้าหมายการทำ CSA ตามที่ต้องการ ลักษณะการทำ CSA ที่จะกล่าวในวันนี้ จะเน้น Control – Based เป็นหลัก จากหลักการทำ CSA ซึ่งอาจมีได้หลายรูปแบบด้วยกันก็คือ Objective – Based, Risk – Based, Process Based, Situational Based หรือ Sceanario – Based สำหรับการทำ CSA ที่นอกเหนือจาก Control – Based จะนำมาเล่าสู่กันฟังในโอกาสต่อ ๆ ไป

แนวความคิดเพื่อสร้างความเข้าใจของกระบวนการทุจริตที่อาจเริ่มต้นจากกฎหมาย นโยบาย ++

แนวความคิดเพื่อสร้างความเข้าใจของกระบวนการทุจริตที่อาจเริ่มต้นจากกฎหมาย นโยบาย ++

คำถามบางประการในการทำ CSA แบบ Control – Based มีดังนี้

ระบบงานคอมพิวเตอร์ที่ควรทราบเบื้องต้น
– องค์กรใข้คอมพิวเตอร์ระบบ Centralize On-Line / ระบบรวมศูนย์ แบบOn-Line หรือระบบ Decentralize/ระบบกระจายศูนย์ (ซึ่งจะมีผลต่อกระบวนการทำงาน การบริหารความเสี่ยง การควบคุมภายในและ กระบวนการตรวจสอบที่แตกต่างกันไป +++ (อาจมีคำถามต่อเนื่องได้อีกมาก)

ผมมีข้อสังเกตเบื้องต้นว่า เมื่อระบบงานขององค์กรส่วนใหญ่ใช้คอมพิวเตอร์เข้าช่วยในการประมวลผล เช่น สถาบันการเงินหรือองค์กรใดก็ตามที่มีการประมวลผลโดยใช้คอมพิวเตอร์เป็นหลัก กระบวนการควบคุมต่างๆก็ใช้ระบบคอมพิวเตอร์เป็นหลัก หลักฐาน++ก็ล้วนเป็น Digital เป็นส่วนใหญ่ ซึ่งต้องการร่วมมือและประสานงาน อย่างใกล้ชิดระหว่าง IT Auditor & Non-IT Auditor ดังเช่นกรณีศึกษา ของการทุจริต VSRS

แนวความคิดและกระบวนการตรวจสอบเปลี่ยนแปลงไปอย่างสิ้นเชิงนั้น การตั้งคำถามเพื่อประเมินการควบคุมภายใน จากการบริหารความเสี่ยงอย่างเป็นกระบวนการ น่าจะได้ผลอย่างจำกัด ถ้าไม่มีความร่วมมืออย่างใกล้ชิด ระหว่าง IT Auditor & Non-IT Auditor อย่างเป็นกระบวนการและเข้าใจจริงของการตรวจสอบองค์กรที่ใช้คอมพิวเตอร์

ในวันนี้ผมจะยังไม่ลงรายละเอียดในเรื่อง Process Risk และ Technology Risk ซึ่งเกี่ยวข้องกับกับการรวบรวมข้อมูล และจุดอ่อนในการดำเนินงาน ที่ก่อให้เกิดการทุจริตต่างๆในวงการสถาบันการเงิน แต่จะให้ข้อสังเกตทั่ว ๆไป ที่น่าจะมีการสอบถามเพื่อการประเมินตนเอง / CSA เกี่ยวกับความพร้อมในระบบงานเพื่อป้องกันการทุจริต ซึ่งควรจะเริ่มต้นด้วยการทำ CSA ด้าน IT เสมอ!

– ระบบคอมพิวเตอร์ที่ใช้อยู่ในปัจจุบันมีความเสถียรเพียงใด หรืออยู่ระหว่างการปรับเปลี่ยน Core Banking System- CBS ที่ยังไม่เสถียรและมีปัญหา++++ (อาจมีคำถามต่อเนื่องได้อีกมากและมีผลต่อการประเมินความเสี่ยง การควบคุมภายใน หลักฐานและกระบวน การตรวจสอบตามมา)
-องค์กรมีนโยบายและบทลงโทษการทุจริต และมีการกำหนด Risk Appetite & Risk Tolerance จากการทุจริตภายในและภายนอกชัดเจน ถูกต้องตามหลักการ ERM
-มีหลักฐานการตรวจสอบการปฎิบัติตามนโยบาย และระเบียบข้อบังคับที่กำหนด
– องค์กรมีการทดสอบ ระเบียบห้ามพนักงานรับฝากสมุดคู่ฝากของลูกค้า และห้ามหรือให้ทำรายการถอนเงินโดยไม่มีสมุดคู่ฝากอย่างมีเงื่อนไข ที่ควบคุมได้โดยระบบ IT & Non-IT
– องค์กรมีระเบียบห้ามพนักงานทำรายการฝากถอนเงินแทนลูกค้า และมีระบบติดตาม
– องค์กรมีการติดตามและตรวจสอบ การกำหนดวงเงิน อำนาจ ในการทำรายการฝากถอน และโอนเงินของพนักงาน Teller อย่างเหมาะสม มีหลักฐานและรายงานชัดเจน
– องค์กรมีระเบียบปฏิบัติในการเปิดปิดเครื่อง Terminal การกำหนดช่วงเวลาในการเปิดปิดเครื่อง และการหยุดใช้งาน หรือเปลี่ยนแปลง Teller ประจำเครื่องระหว่างวัน
– องค์กรมีการทดสอบและตรวจสอบระเบียบการปฏิบัติงานเกี่ยวกับการใช้รหัสหรือบัตรผ่านแสดงตัวผู้ปฏิบัติงาน รหัสผ่านหรือรหัสอนุมัติรายการ รวมถึงกรณีมีการปฏิบัติงานทดแทนกัน เช่น ห้าม Authorize แจ้งรหัสผ่านให้ผู้อื่นทราบ และกำหนดให้เปลี่ยนรหัสที่เหมาะสม
– องค์กรมีการติดตามและตรวจสอบ การควบคุมเอกสารที่เกี่ยวกับเงินฝาก เช่น ใบคำขอเปิดบัญชี บัตรลายมือชื่อ ใบรับฝาก (NCD) สมุดคู่ฝากที่ยังไม่ได้ใช้อย่างรัดกุม โดยมีการกำหนดตัวผู้ดูแลรักษา เอกสารมีการ Running Number มีทะเบียนคุม มีการตรวจสอบบัญชีที่เปิดใหม่กับสมุดเงินฝากที่ถูกเบิกใช้ให้ตรงกันทุกวัน และตรวจนับสมุดคู่ฝากทุก 6 เดือน
– องค์กรมีระเบียบ หรือคำสั่ง ห้ามนำเอกสารที่เกี่ยวกับเงินฝากไปรับฝากนอกสถานที่ทำการเว้นแต่ได้รับอนุญาตจากผู้จัดการสาขาหรือผู้มีอำนาจที่เกี่ยวข้อง
– องค์กรจัดให้มีการติดตามและตรวจสอบ การทำรายการฝาก ถอนเงินสดหรือการโอนเงินเกินอำนาจ Teller ต้องมีผู้มีอำนาจอนุมัติรายการและต้องอนุมัติรายการด้วยตนเองไม่มีการให้ยืมบัตรผ่านรายการหรือบอกรหัสผ่านให้ทราบ รวมทั้งมีการกำหนดวงเงินสดที่ Teller สามารถถือครองได้ระหว่างวัน และมีหลักฐานรวมทั้งรายงานการตรวจสอบที่เกี่ยวข้อง
– องค์กรจัดให้มี การสุ่มบัญชีเงินฝากเพื่อส่งใบยืนยันยอดเงินฝากทุกประเภทเป็นครั้งคราว หรืออย่างน้อยทุก 6 เดือน
– องค์กรจัดให้มีการควบคุมและการตรวจสอบ การระเบียบวิธีปฏิบัติเกี่ยวกับบัญชีที่ขาดการติดต่อ (unclaim) ไว้อย่างรัดกุมชัดเจน และอยู่ในการควบคุมดูแลของเจ้าหน้าที่บริหาร
– การแก้ไขรายการ การปรับปรุงรายการต่าง ๆ เช่น การยกเลิกรายการฝากถอน ควรมีการตรวจทาน ควบคุมและได้รับการอนุมัติจากผู้มีอำนาจ รวมทั้งมีรายงานเพื่อควบคุมตรวจสอบรายการที่มีการแก้ไข และติดตามผลกระทบที่เกิดขึ้นจากการปฎิบัติดังกล่าว
– มีการตรวจสอบ การทำรายการโอนเงินถึงความถูกต้องของข้อมูลและเอกสาร รวมทั้งการอนุมัติรายการ หากมีรายการต้องสงสัย และมีระเบียบให้รายงาน ปปง.ทราบ
– องค์กรจัดให้มีมีระเบียบ วิธีปฏิบัติเกี่ยวกับการจัดเก็บเอกสารสำคัญของลูกค้าเงินฝาก เช่น ตัวอย่างลายมือชื่อ คำขอเปิดบัญชี ไว้ในที่ปลอดภัย รวมทั้งมีผู้รับผิดชอบ
– องค์กรจัดให้มีระเบียบปฏิบัติให้พนักงานแนะนำลูกค้าเงินฝากเกี่ยวกับความปลอดภัยของเงินฝากและเงินเบิกเกินบัญชี
– องคืกรมีข้อกำหนดเกี่ยวกับการเปิดบัญชีเงินฝากของพนักงาน และการควบคุมดูแล
– มีระเบียบ ห้ามเจ้าหน้าที่อื่นที่ไม่ใช่ Teller มาทำหน้าที่ รับ-จ่ายเงินกับลูกค้า
– มีการพิสูจน์ความถูกต้องของการทำรายการเงินฝากของ Teller แต่ละคน และเงินฝากรวมของสาขา ณ สิ้นวัน โดยมีหลักฐานและการรายงานอย่างเหมาะสม

ความเข้าใจและการรวบรวมข้อมูลที่เกี่ยวข้องกับสภาพแวดล้อมและองค์ประกอบของการตรวจสอบการทุจริต

ความเข้าใจและการรวบรวมข้อมูลที่เกี่ยวข้องกับสภาพแวดล้อมและองค์ประกอบของการตรวจสอบการทุจริต

– เงินฝากที่มีภาระการคำประกัน ควรอายัดทั้งเงินต้นและดอกเบี้ย และมีระบบงานรวมทั้งมีข้อมูลการอายัดชัดแจ้ง และ มีการจัดทำทะเบียนเงินฝากที่มีภาระอย่างรัดกุม

– การปลด (Hold)ภาระเงินฝาก ต้องมีกระบวนการตรวจสอบว่าปลอดภาระจริง โดยเฉพาะเงินฝากที่ค้ำประกันสินเชื่อ เจ้าหน้าที่สินเชื่อจะต้องทำการยกเลิกวงเงินสินเชื่อก่อน และมีหัวหน้าสินเชื่อตรวจสอบความถูกต้อง และต้องได้รับอนุมัติจากผู้จัดการสาขา
– มีการกำหนดหลักเกณฑ์และระบบงาน เงินฝากที่ค้ำประกันสินเชื่อเป็นการค้ำประกันทั้งบัญชีเพื่อไม่ให้มีการมาถอนส่วนที่ปลอดภาระในภายหลัง รวมทั้งจัดให้มีการรายงานอย่างเหมาะสม

– มีการกำหนดให้รายการที่มีนัยสำคัญหรือเกินอำนาจอนุมัติต้องผ่านการอนุมัติจากผู้จัดการสาขาหรือผู้รับมอบอำนาจอย่างเหมาะสม
– ผู้จัดการสาขามีระบบงานที่ใช้ในการติดตามการปฏิบัติงานของสาขาสำหรับรายการที่สำคัญต่าง ๆ ที่เพียงพอเช่น

– รายการที่ทำโดยผ่านรหัสของผู้จัดการสาขา
– รายการที่เกิดขึ้นหรือการเข้าระบบงาน (Sign on) หลังเวลาทำการ
– รายงานการปรับปรุงดอกเบี้ย
– รายงานการทำรายการที่เกินอำนาจ Teller
– รายงานการแก้ไขรายการ
– รายการฝากถอนเงินที่เกิน 1 ล้านหรือที่สำนักงานใหญ่หรือสาขาไม่เกินข้อ กำหนด

– มีการทดสอบกล้องวงจรปิดครอบคลุมจุดสำคัญของสาขา เช่น ห้องมั่นคง และมีการตรวจเช็คการทำงานของเครื่องอย่างสม่ำเสมอ รวมทั้งมีการเก็บบันทึกข้อมูลเป็นระยะเวลาที่กฎหมายกำหนด และรายงานผลอย่างเหมาะสม
– จัดให้มีการกำหนดผู้รับผิดชอบเปิดปิดสาขา และควบคุมการใช้สถานที่ทำงานนอกเวลาทำการและการเข้าถึงเครื่องรับ-ส่งข้อมูล

– สำนักงานใหญ่ควรดูแลสาขามีการตรวจสอบการปฏิบัติงานของสาขาไตรมาสละ 1 ครั้ง เพื่อตรวจสอบความถูกต้องครบถ้วนของเอกสาร และนิติกรรมสัญญาของการฝาก-ถอนเงิน การอนุมัติรายการ การแก้ไขรายการต่างๆ
– ต้องมีระบบการติดตามการปฏิบัติงานของผู้จัดการสาขา เช่น การตรวจสอบรายการที่มีนัยสำคัญ โดยเฉพาะรายการการโอนเงินไปยังบัญชีเดียวกันไม่ว่าภายในธนาคารเดียวกันหรือต่างธนาคาร
– องค์กรควรจัดให้ผู้ตรวจสอบ มีการ Surprise Check พนักงาน Teller ในการปฏิบัติตามระเบียบ

การเปลี่ยนแปลงกระบวนความคิดเพื่อหาหลักฐานการตรวจสอบในการสร้างคุณค่าเพิ่ม รวมทั้งการตรวจสอบการทุจริต

การเปลี่ยนแปลงกระบวนความคิดเพื่อหาหลักฐานการตรวจสอบในการสร้างคุณค่าเพิ่ม รวมทั้งการตรวจสอบการทุจริต

– องค์กรควรจัดให้มีการตรวจสอบการปฏิบัติงานของเจ้าหน้าที่เกี่ยวกับการฝากถอนเงินให้เป็นไปตามระเบียบที่กำหนดข้างต้น และติดตามรายงานประจำวันโดยใกล้ชิด เอาใจใส่จริงจัง
– ตรวจสอบความถูกต้องของข้อมูลและการควบคุมความครบถ้วนของเอกสารสัญญาที่เกี่ยวกับการเปิดบัญชี และการฝาก-ถอนเงิน
– ตรวจสอบการเบิกใช้สมุดคู่ฝาก รวมทั้งการเก็บรักษาสมุดคู่ฝากที่ยังไม่ใช้
– ตรวจสอบการปฏิบัติหน้าที่แทนกันตามหลักเกณฑ์ที่กำหนดไว้
– มีการระบุเรื่องการตรวจสอบบัญชีพนักงานอยู่ในขอบเขตการตรวจสอบ
– มีระบบงานตรวจจับรายการผิดปกติ ทั้งในระบบ Manual และระบบ Automated เช่น
– การทำรายการฝากถอนบัญชีของพนักงานสาขา
– การฝากและถอนเงินเป็นจำนวนใกล้เคียงกันในลูกค้ารายเดียวกันในวันเดียวกัน
– การฝาก ถอน โอนเงิน จำนวนสูงในบัญชี ซึ่งไม่เคยเกิดรายการลักษณะนี้
– การฝากและถอนเงินต่างสาขาหลายสาขา หรือ หลายครั้งในวันเดียวกัน
– การฝากเงิน ถอนเงิน และการโอนเงินที่มีความถี่ผิดปกติ
– การทำรายการนอกเวลาทำการ
– การกำหนดและจัดทำ Business Rules เพื่อป้องกันการทุจริตโดยอาศัย Logic
ที่อาจเกิดกิจกรรมที่เป็นช่องเปิดของจุดอ่อนและการทุจริต( Exposure )ได้
โดยติดตามพฎติกรรม จากการใฃ้ เครื่อง Terminal ของพนักงานและผู้บริหาร
ซึ่งควรรวมกิจกรรมที่ผิดกฎหมายและ Compliance ต่างๆ และส่งรายงานอย่าง
เป็น ระบบ ก่อนที่จะมีปัญหาเกิดขึ้น
– จัดให้มีการสอบทานการบันทึกบัญชี การจ่ายดอกเบี้ย การยืนยันยอด การกระทบยอดบัญชี
– จัดให้มีการตรวจสอบดอกเบี้ยจ่ายที่สูงผิดปกติ หรือค่าธรรมเนียมรับที่เกี่ยวกับเงินฝากที่ต่ำผิดปกติเมื่อเทียบกับช่วงเวลาที่ผ่านมา หรือไม่สัมพันธ์กับยอดเงินฝาก
– เมื่อพบการทุจริตได้มีการตรวจสอบรายการลักษณะเดียวกันทั้งระบบ ในกรณีที่องค์กรใช้ระบบ Centralize On-line ก็อาจสรุปได้ทันทีว่าสำนักงานหรือสาขาอื่น ก็มีโอกาสที่จะกระทำการทุจริตได้เช่นกัน เพราะใช้ระบบงาน และกระบวนการทำงานแบบเดียวกัน
– มีช่องทางการรับเรื่องร้องเรียนจากลูกค้า รวมทั้งช่องทางที่ให้พนักงานธนาคารชี้เบาะแส โดยไม่เปิดเผยชื่อผู้ร้องเรียน
– มีการกำหนดหน่วยงานที่ทำหน้าที่ติดตาม ตรวจสอบ ดูแลเรื่องร้องเรียนอย่างชัดเจน และมีกำหนดเวลาดำเนินการไว้ชัดเจน (จะได้นำเสนอโดยละเอียดต่อไป)
– มีการกำหนดให้มีการสับเปลี่ยนเจ้าหน้าที่ปฏิบัติงานระหว่างสาขา เช่นสับเปลี่ยนหมุนเวียนผู้จัดการสาขาทั่วประเทศ
– มีข้อบังคับให้เจ้าหน้าที่หยุดพักผ่อนต่อเนื่องตามจำนวนวันที่องค์กรกำหนด
– มีวิธีการดูแลความเป็นอยู่หรือพฤติกรรมของพนักงาน
– มีบุคคลที่ชำนาญการและมีประสบการณ์คอยให้คำแนะนำเจ้าหน้าที่อื่น
– การกำหนดหน้าที่ Teller แยกจากพนักงานการเงิน และผู้ทำหน้าที่เปิดบัญชี
– มีระเบียบปฏิบัติและการควบคุม เกี่ยวกับการทำงานผ่านระบบงานนอกเวลาทำการ
– มีการฝึกอบรมพนักงานให้มีความตื่นตัว มีความรู้ และมีส่วนร่วมในการป้องกันการทุจริต รวมทั้งให้เบาะแสเมื่อมีการปฏิบัติผิดปกติเกิดขึ้นในสาขา
– มีข้อกำหนดบทลงโทษพนักงานที่รู้เห็นการกระทำทุจริตแล้วไม่แจ้งเบาะแส แม้จะไม่มีส่วนเกี่ยวข้องกับการกระทำทุจริตนั้น
– ผู้ตรวจสอบควรมีความรู้ในการตรวจสอบ Log-file
– ควรมีการประสานงานการตรวจสอบระหว่าง IT Auditor และ Non-IT Auditor อย่างใกล้ชิด
– ควรตรวจสอบและดูแล การใฃ้ Super Password และ Super ID อย่างใกล้ชิดและด้วยความเข้าใจจริงถึงผลการใช้ รหัสพิเศษ ว่าทำให้องค์กรเสียหายได้อย่างคาดไม่ถึง

กรอบแนวการทำ CSA ดังกล่าวข้างต้น อาจใช้เป็นการประเมินตนเองเพื่อปรับปรุงการบริหารความเสี่ยงและการควบคุมภายในให้ดีขึ้นได้บางส่วน ทั้งก่อนและหลังจากที่องค์กรมีปัญหาได้ในทั้ง 2 กรณี ทั้งนี้ขึ้นกับวัตถุประสงค์ในการทำ Control Self Assessment – CSA และการทำ CSA ดังกล่าวก็มีประโยชน์กับทั้งผู้บริหาร และทั้งผู้ตรวจสอบภายในเป็นอย่างยิ่ง หากผู้อำนวยความสะดวก (Facilator) เข้าใจในกระบวนการบริหารความเสี่ยง การควบคุมภายในของหน่วยงานของตน ที่สัมพันธ์กับเป้าประสงค์และกลยุทธ์ระดับองค์กรเป็นอย่างดี มิฉะนั้นการทำ CSA ก็จะไม่ได้ผลเท่าที่ควร และจะมีปัญหาแบบลูกโซ่ต่อไปไม่มีที่สิ้นสุด

ประเด็นที่น่าเป็นห่วงที่สุดก็คือ การทำ CSA ภายในระดับสายงานหรือระดับฝ่ายงาน หรือ Business Unit ผู้ดำเนินการไม่เข้าใจกระบวนการทำงาน และกิจกรรมที่เกี่ยวข้องกับ Business Process ระดับองค์กร ซึ่งรวมถึงกระบวนการที่เกี่ยวข้องกับการจัดการเทคโนโลยีสารสนเทศ ทั้งในระดับสายงานของตนและในระดับองค์กร เท่าที่ควรจะเป็น ทำให้การระบุกิจกรรมที่ก่อให้เกิดความเสี่ยงที่ต้องการควบคุม ทั้งในระดับสายงาน ซึ่งมีความสัมพันธ์กันอย่างใกล้ชิดกับระดับองค์กร เพื่อก้าวไปสู่ Business Objective ขององค์กรนั้นไม่ได้ผลเท่าที่ควร

ในครั้งต่อไป ผมจะพูดถึงเรื่องการตรวจสอบการทุจริต หลังจากนั้นแล้วผมจะนำเสนอเรื่องวิธีการประเมินตนเองเพื่อการบริหารความเสี่ยงและการควบคุมภายใน (CSA – Control Self Assessment) ที่เป็นรายละเอียดมากขึ้น เพื่อนำไปสู่การปฏิบัติที่เป็นรูปธรรมได้ในที่สุด

 

การทุจริตของสถาบันการเงินต่าง ๆ โดยใช้ IT & Non – IT และการประเมินตนเอง(CSA)เพื่อการบริหารความเสี่ยง ของผู้บริหาร

ผมต้องขออภัยสำหรับผู้ที่ติดตามในหัวข้อนี้ เนื่องจากผมได้ update ข้อมูลไปเมื่อวันที่ 6 มิถุนายน 2552 และได้มีการปรับปรุงแก้ไขเนื้อหาเพียงเล็กน้อย ในวันที่ 7 มิถุนายน 2552 หลังจากทำการ post เนื้อหาขึ้นเว็บ ปรากฎว่าไม่พบเนื้อหาที่แก้ไข รวมถึงเนื้อหาเดิมก่อนทำการแก้ไขแล้ว ซึ่งผมเข้าใจว่าอาจเกิดปัญหาทางด้านเทคนิคบางประการ และเช้าวันนี้ ซึ่งเป็นวันที่ 8 มิถุนายน 2552 ก็ยังมีปัญหาใน Article นี้อยู่ ซึ่งผมจะพยายามดำเนินการต่อไปครับ

 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/