ทุจริตในองค์กร ภัยมืดที่ป้องกันและควบคุมได้
โดย สุกิจ กิตติบุญญานนท์
การป้องกันทุจริตในองค์กรนั้นไม่เพียงแต่จะช่วย ลดความเสียหายทั้งในแง่ของตัวเงินและภาพลักษณ์ขององค์กร เท่านั้น แต่ยังช่วยเกื้อหนุนและสร้างมูลค่าของกิจการให้กับ ผู้ถือหุ้นอย่างยั่งยืนด้วย บทบาทดังกล่าวนี้ย่อมเกี่ยวข้อง กับคณะกรรมการของบริษัท เพราะเป็นผู้กำหนดนโยบาย การติดตามดูแลเพื่อลดโอกาสของการเกิดทุจริตในทุกส่วน ขององค์กร งานเสวนา CG Forum ครั้งที่ 3 ประจำปี 2559 เมื่อวันที่ 24 สิงหาคม 2559 ที่ตลาดหลักทรัพย์แห่ง ประเทศไทยได้จัดขึ้นภายใต้หัวข้อ“ทุจริตในองค์กร ภัยมืด ที่ป้องกันและควบคุมได้” โดยมีกรรมการและผู้บริหารของ บริษัทจดทะเบียนเข้าร่วมกว่า 350 ท่าน โดยในช่วงแรกนั้นเป็นการให้ความรู้เรื่อง“การบริหารความเสี่ยง การทุจริต ตามแนวทางของ COSO”โดยคุณเมธา สุวรรณสาร กรรมการอิสระและกรรมการตรวจสอบ บริษัท ศรีอยุธยา แคปปิตอล จำกัด (มหาชน) และอุปนายกสมาคม ISACA (Information Security Audit and Control Association) BangkokChapterได้กล่าวถึงสาเหตุของการทุจริต 3 ประการ
ที่เกิดขึ้นได้จากการมีระบบงานที่มีจุดอ่อนมีบุคคลที่ส่อการ ทุจริตและโอกาสที่เอื้อต่อการทุจริตตามหลักการบริหารจัดการ ที่ดีเพื่อป้องการทุจริตคณะกรรมการและฝ่ายจัดการจะต้อง สร้างระบบควบคุมภายในเพื่อลดความเสี่ยงในส่วนของBusiness Processโดยนำ หลักการของCOSO–ERM และCOBIT5(IT Governance)มาประยุกต์ใช้ให้ทำงานร่วมกันแบบบูรณาการ คุณเมธาได้ยกตัวอย่างกรณีของธนาคารโซซิเอเต้เจเนอราล (SocieteGenerale) ที่ถูก“นายเจอโรม เคอร์วีล” พนักงาน ของธนาคารใช้เงินของธนาคารลงทุนในดัชนีตลาดหุ้นยุโรป อย่างต่อเนื่องในปี2007-2008โดยอาศัยจุดอ่อนของระบบ คอมพิวเตอร์ของธนาคารในการทำการซื้อขายส่งผลให้ทาง ธนาคารสูญเสียเงิน4.9 พันล้านยูโร (7.2 พันล้านดอลลาร์) ในการปิดสถานะการลงทุน จากกรณีนี้ แสดงให้เห็นถึง จุดอ่อนของกระบวนการบริหารและควบคุมภายในของ ธนาคารที่ปล่อยให้พนักงานเพียงคนเดียวของธนาคารทำการทุจริตเป็นระยะเวลาต่อเนื่องยาวนาน โดยที่ธนาคาร ไม่สามารถตรวจพบได้อย่างทันการ
คุณไพฑูรย์ ทวีผลประธานกรรมการตรวจสอบและประธานกรรมการบริหารความเสี่ยงบริษัท เซ็นทรัลพัฒนา จำกัด(มหาชน) ซึ่งประกอบธุรกิจห้างสรรพสินค้าทั่วประเทศกว่า 30 สาขา ได้กล่าวถึงการป้องกันความเสี่ยงจากการทุจริตจะต้องมาจาก คณะกรรมการบริษัทกำหนดเป็นนโยบายที่ชัดเจนและมีการติดตามอย่างสม่ำ เสมอโดยได้ยกตัวอย่างว่าคณะกรรมการบริษัท จะมอบหมายให้คณะกรรมการตรวจสอบทำหน้าที่สอบทานรายการที่อาจก่อให้เกิดการทุจริตเพื่อจำกัดความเสี่ยงด้านทุจริตให้ อยู่ในระดับที่ยอมรับได้ พร้อมทั้งกำ หนดนโยบายเพื่อให้ฝ่ายจัดการนำไปปฏิบัติกับทุก Stakeholders ที่มาใช้บริการศูนย์การค้า โดยมีหน่วยงาน Internal Audit และผู้สอบบัญชีของบริษัทเป็นเครื่องมือสำคัญ ซึ่งตาม พ.ร.บ.หลักทรัพย์ พ.ศ.2535 มาตรา89/25กำหนดให้ผู้สอบบัญชีแจ้งข้อเท็จจริงแก่คณะกรรมการตรวจสอบหากพบพฤติกรรมของกรรมการหรือผู้บริหาร อันควรสงสัย ซึ่งกระบวนการนี้ก็สามารถนำไปสู่การจับทุจริตที่รวดเร็วขึ้น และลดความเสียหายที่จะเกิดขึ้นกับองค์กรได้
การตรวจสอบความเสี่ยง(AuditRisk)โดยนำ ITAudit มาใช้ให้เกิดประโยชน์นั้นมีหลายองค์ประกอบที่เกี่ยวข้องเช่นคณะกรรมการ บริษัทและคณะกรรมการตรวจสอบต้องมีความเข้าใจที่ตรงกันในการนำ IT มาใช้เป็นเครื่องมือในการป้องกันและแก้ไขปัญหา ในเรื่องของการทุจริต ผู้ตรวจสอบต้องติดตามการเปลี่ยนแปลงของเทคโนโลยีให้ทันเมื่อทำได้เช่นนี้แล้วก็จะเกิดประโยชน์อย่างยิ่ง เช่นการตรวจสอบระบบ(Systemaudit)เพื่อตรวจจับรายการธุรกรรมที่ผิดปกติ หากเทคโนโลยีที่นำใช้มีประสิทธิภาพก็จะทำให้ สามารถตรวจสอบธุรกรรมได้หลายล้านธุรกรรมในระยะเวลาอันสั้นและได้ผลลัพธ์ที่ถูกต้องแม่นยำ เป็นต้น คุณเมธา สุวรรณสาร กล่าวเสริม
พ.ต.อ. ญาณพล ยั่งยืน นายกสมาคมความมั่นคงปลอดภัยระบบสารสนเทศและอดีตรองอธิบดีกรมสอบสวนคดีพิเศษ ได้ให้ข้อ สังเกตในเรื่องของ IT risk ว่าเป็นเรื่องที่ละเอียดอ่อนและอาจนำไปสู่การทุจริตได้เช่นบริษัทจ้างบุคคลภายนอก(Outsource) มาดำเนินการในการวางระบบIT หากบุคคลภายนอกนั้นไม่สุจริตก็สามารถอาศัยช่องโหว่ของระบบที่ตนรู้เข้ามาทำ การทุจริตได้ ดังนั้นการมีระบบสำรองป้องกันไว้จึงเป็นเรื่องที่สำคัญและไม่ควรมองข้ามที่จะลงทุนในเรื่องนี้ โดยได้ยกตัวอย่างกรณีแฮ็คเกอร์ เจาะเข้าระบบเซิร์ฟเวอร์ของธนาคารกลางบังคลาเทศ แล้วส่งคำร้องไปยัง Federal Reserve Bank ในนิวยอร์ค ส่งผลให้ขโมย เงินไปได้กว่า $81 ล้านเหรียญสหรัฐฯ หรือประมาณ 2,850 ล้านบาท ซึ่งจากการตรวจสอบพบว่าสาเหตุมาจากการแฮ็คเข้า ระบบผ่านทางแพลทฟอร์มการเงินชื่อดังอย่าง SWIFT แล้วทำการปล่อยมัลแวร์ชนิดพิเศษลงไป นอกจากนี้ ทีมสืบสวนของ ตำรวจบังคลาเทศได้เปิดเผยสาเหตุสำคัญประการหนึ่งคือธนาคารใช้เพียงRouterมือสองราคา$10ในการจัดการกับระบบ เครือข่ายโดยไม่มีFirewallป้องกันส่งผลให้แฮ็คเกอร์สามารถเข้าถึงระบบของธนาคารได้ทั้งหมด
ในช่วงท้ายคุณอนุวัฒน์ จงยินดี ผู้อำนวยการสำนักงานตรวจสอบ บริษัท ปูนซิเมนต์ไทย จำกัด(มหาชน)และประธานชมรม บริหารความเสี่ยงและการควบคุมภายใน สมาคมบริษัทจดทะเบียนไทย ผู้ดำเนินรายการและผู้ร่วมเสวนาได้สรุปปิดท้ายว่า คณะกรรมการและคณะกรรมการตรวจสอบของบริษัทจะต้องทราบถึงความเสี่ยงด้าน IT ที่อาจจะเกิดขึ้นกับธุรกิจหลักของ ตนเอง และเรียนรู้เรื่องของการป้องกันการทุจริตนั้น การสร้างความตระหนักในเรื่องนี้ในทุกฝ่ายขององค์กรจะช่วยลดความ เสี่ยงด้านทุจริตในกระบวนการทำธุรกิจขององค์กรได้เป็นอย่างมีประสิทธิภาพ
ขอขอบคุณแหล่งที่มา : ตลาดหลักทรัพย์แห่งประเทศไทย
หากท่านสนใจบริการ ตรวจสอบภายในธรรมนิติ (DIR) มีดังนี้
- งานตรวจสอบภายใน (IA)
- ประเมินระบบการควบคุมภายใน
- การบริหารความเสี่ยง
- ประเมินทุจริตคอรัปชั่น
- ตรวจสอบระบบคอมพิวเตอร์และไอที
- งานตรวจสอบพิเศษ
- ประเมินคุณภาพงานตรวจสอบภายใน (QAR)
- พัฒนาระบบบัญชี
สามารถติตต่อได้ที่
เบอร์ : 02-596-0500 ต่อ 327 อีเมล : This email address is being protected from spambots. You need JavaScript enabled to view it.
บริษัทตรวจสอบภายในธรรมนิติ (DIR) ยินดีให้บริการครับ