กรณีศึกษา - "พี่เค้าเหมือนศาลพระภูมิ"
โดยทั่วไป ในกระบวนการทำอนุมัติจ่ายเงินให้กับเจ้าหนี้ของบริษัท เช่น Supplier (หรือ Vendor) จะต้องมีเอกสารประกอบดังต่อไปนี้
1. ใบแจ้งหนี้ (Invoice) จาก Supplier/Vendor
2. เอกสารแสดงการรับสินค้าหรือบริการ ลงนามโดยพนักงานหรือตัวแทนของบริษัทผู้ทำหน้าที่นั้น ๆ เช่น พนักงานคลังสินค้า หรือผู้จัดการโครงการ
3. ใบสำคัญจ่าย (Payment voucher หรือ PV) ซึ่งโดยมากจะเป็นฝ่ายบัญชีจัดเตรียมให้
นอกจากเอกสาร 3 อย่างข้างต้น ผมก็เคยเห็นว่าในบางบริษัท จะมีการแนบใบสั่งซื้อ (Purchase order หรือ PO) หรือสัญญาว่าจ้าง หรือเอกสารทางเทคนิคที่ใช้ประกอบการตรวจรับเข้ามาด้วย
ก็เอาที่สบายใจหล่ะครับ ... เหลือดีกว่าขาด
หากเอกสารถูกต้องครบถ้วน ใบ PV พร้อมเอกสารประกอบเหล่านั้น จะถูกส่งไปขออนุมัติจากผู้มีอำนาจ ก่อนที่จะส่งต่อให้ฝ่ายการเงินทำการชำระเงินให้แก่เจ้าหนี้ตามลำดับ
หลังจากนั้น เอกสารที่เป็นหลักฐานการจ่ายเงิน เช่น สำเนาเช็ค หรือ Slip โอนเงิน ก็ควรจะถูกแนบเข้ากับชุดเอกสาร PV ด้วย เพื่อรอการตรวจสอบโดยผู้ตรวจสอบจากภายนอก หรือเจ้าหน้าที่สรรพากร
กระบวนการ และระบบงานทั่วไปในการจ่ายเงินเจ้าหนี้ ก็เป็นแบบนี้ครับ
สิ่งสำคัญคือ เจ้าหน้าที่ที่มีส่วนเกี่ยวข้อง ควรจะมีการแบ่งแยกหน้าที่กันอย่างชัดเจน
เพราะหากมีอะไรบกพร่องไป หายนะก็อาจจะเกิดขึ้นได้ ดังเช่นตัวอย่างในกรณีศึกษานี้ เป็นต้น ...
ประมาณ 4 ปีก่อน CFO ของบริษัทแห่งหนึ่ง ได้ติดต่อมาที่เจ้านายผมเพื่อขอคำปรึกษาเกี่ยวกับเรื่องไม่ชอบมาพากลในแผนกบัญชีและการเงินของบริษัท
CFO ท่านสงสัยว่าพนักงานในแผนกอาจจะมีการสมรู้ร่วมคิดกันเพื่อยักยอกเงินบริษัท เนื่องจากพบว่ามีการโอนเงินจำนวนหลายล้านบาทผ่านระบบ Internet banking ไปยังบัญชีธนาคารของบุคคลภายนอกคนหนึ่ง ซึ่งไม่เคยมีการทำธุรกิจอะไรกับบริษัทเลย
เอกสารประกอบการจ่ายเงินของธุรกรรมต้องสงสัยเหล่านั้น ก็เป็นเอกสารสำหรับการจ่ายเงิน Supplier หรือ Vendor ตามปกติ
แต่ในเบื้องต้น CFO พบว่าเอกสารเหล่านั้น เป็นการนำเอกสารจากรายการเก่า ๆ มาวนจ่ายซ้ำ และมีการแก้ไขข้อมูลในระบบเพื่อหลอกลวงให้ผู้บริหารทำการอนุมัติรายการจ่าย
ส่วนเงินที่จ่ายซ้ำซ้อนไปนั้น ก็ถูกเจ้าหน้าที่บางคนนำไปบันทึกลงที่รหัสบัญชี (Account code) ที่ไม่ค่อยมีการใช้งานไว้ชั่วคราว ก่อนจะมีการสลับโยกย้ายยอดเงินที่ "เขย่ง" อยู่นี้ ไป ๆ มา ๆ ระหว่าง Account code หลายคู่
ทำอย่างเป็นระบบ และมีความสลับซับซ้อนพอสมควรเพื่อหลบเลี่ยงการตรวจสอบ
CFO บอกว่า เท่าที่ประเมินเบื้องต้น มูลค่าความเสียหายน่าจะเกือบ ๆ 10 ล้านบาท และน่าจะทำมาแล้วอย่างน้อย 2 ปี
และจากกระบวนการทั้งหมด ก็คาดว่าคงไม่ได้เป็นแค่พนักงานคนใดคนหนึ่งทำด้วยตัวคนเดียว เพราะขั้นตอนมันเกี่ยวข้องกับพนักงานหลายคน
CFO คนเดียวดูเองไม่ไหว ก็เลยอยากให้ทีมงานเราเข้าไปช่วยหน่อย
แต่เบื้องต้น เราพบข้อสังเกตอย่างหนึ่งคือ แม้จะดูเหมือนว่ามีคนเกี่ยวข้องเยอะ แต่ผู้รับเงินปลายทางของธุรกรรมต้องสงสัยตลอด 2 ปีที่ว่านั้นมีอยู่คนเดียวมาโดยตลอด
คือทีมงานเรามองว่าถ้าทำเป็นขบวนการ ก็น่าจะกระจายผู้รับเงินได้หลากหลายกว่านี้ ไม่จำเป็นต้องใช้คน ๆ เดียวมารับเงิน ...
หลังจากทีมงานเราเข้าไปฟังข้อมูลเบื้องต้น และทำความเข้าใจ Background ของการทำงานที่นี่ เราก็เริ่มต้นการสืบสวนโดยอาศัยวิธีการ 3 วิธีหลัก ๆ ได้แก่
1) การวิเคราะห์ข้อมูลเชิงสืบสวน (Forensic analytics) โดยอาศัยข้อมูลธุรกรรมย้อนหลังจากระบบบัญชี ประกอบกับการตรวจสอบเอกสาร
2) การหาข้อมูลอื่น ๆ ตามเทคนิคของ Computer Forensic
3) การสัมภาษณ์พนักงานที่เกี่ยวข้อง
ในชั้นแรก เราก็เชื่อได้ว่ามีพนักงานที่เกี่ยวข้องเยอะ เนื่องจากขั้นตอนการทำงานต้องผ่านมือพนักงานในตำแหน่งต่าง ๆ ดังนี้ ...
คนที่ 1 รับวางบิลจาก Supplier และตรวจสอบการรับสินค้า หรือบริการ
คนที่ 2 เตรียมเอกสารตั้งหนี้ และ สร้าง PV ในระบบหรือ Preparer
คนที่ 3 ตรวจสอบ PV หรือ Reviewer
คนที่ 4 คือ ผู้จัดการฝ่ายบัญชีที่ดูบัญชีขาจ่าย ที่เป็นคนอนุมัติหากยอดไม่เกิน 3 แสน หรือหากเกิน ก็ต้องตรวจอีกรอบก่อนจะส่งไปให้ CFO (คนนี้ CFO ท่านว่าไว้ใจได้)
คนที่ 5 คือ CFO เพราะถ้ายอดเงินเกิน 3 แสนบาทก็ต้องขออนุมัติจาก CFO หรือหากเกิน 1 ล้าน CFO ก็จะเป็นคนตรวจสอบก่อนส่งให้ CEO อนุมัติ
คนที่ 6 คือ CEO กรณีที่ยอดเยอะกว่า 1 ล้าน หรือเป็นการซื้อประเภทพิเศษ ก็ต้องขอ อนุมัติจาก CEO (คนนี้ก็ต้องไว้ใจได้ เพราะเป็นคนเซ็นสัญญาว่าจ้างให้พวกผมมาทำงาน)
สุดท้าย คนที่ 7 ทำหน้าที่จ่ายเงินผ่านระบบ Internet banking หรือ การออกเช็คเพื่อจ่ายเงิน
และเนื่องจากอาจจะมีการทำงานกันเป็นขบวนการตามข้อมูลข้างต้น เราจึงต้องเริ่มงานกันแบบเงียบเชียบที่สุด นั่นคือต้องเน้นไปที่การดึงข้อมูลจากระบบบัญชีมาวิเคราะห์ ร่วมกับข้อมูลจากเครื่องคอมพิวเตอร์ไปก่อน เพื่อไม่ให้มีใครทราบว่ามีการสืบสวนกรณีนี้อยู่
Fast forward ไปในอีก 2 - 3 อาทิตย์ต่อมา ...
ภายหลังจากเราได้ตรวจสอบข้อมูลทั้งในระบบบัญชี ในคอมพิวเตอร์ของพนักงานในแผนก และดูเอกสารแล้ว เราก็พบว่าเทคนิคที่ผู้ร้ายใช้ในการสร้างธุรกรรมอันเป็นทุจริต บางส่วนก็ตรงตามที่ CFO ท่านตรวจเจอมาก่อน
คือการนำเอกสารมาเวียนเทียนจ่ายซ้ำ
แต่แน่นอนว่าเราก็ยังเจอรูปแบบอื่น ๆ ด้วย เช่น การปลอมเอกสารทั้งฉบับ หรือบางส่วน หรือเอาเอกสารใบแจ้งหนี้เดิมมาแก้ไขบางอย่างให้กลายเป็นใบแจ้งหนี้ใหม่
ซึ่งในจำนวนนี้ มีหลาย ๆ รายการ ที่ CFO และ CEO เป็นคนอนุมัติร่วม ซึ่งท่านก็บอกว่า “ทีมงาน” มักจะเอาเอกสารมาขออนุมัติโดยอ้างว่า “เป็นงานด่วน” และเอกสารบางอย่างจะส่งตามมา หรืออยากให้ช่วยอนุมัติไปก่อนเพราะจะเป็นวันหยุดยาว ฯลฯ
อันที่จริง นี่ก็เป็นเทคนิคหนึ่งที่เราก็เห็นกันบ่อย ๆ ครับ ประเภทอ้างว่าเป็น “งานด่วน” ต้องรีบดำเนินการนั้น เหมาะแก่การทุจริตดีนักแล
พอได้รับการอนุมัติแล้ว ในจังหวะการโอนเงินเราก็พบว่าผู้ร้ายได้มีการเตรียมการไว้ล่วงหน้าแล้ว โดยทำการสร้างชื่อผู้รับเงิน (ปลอม ๆ) ไว้ในระบบก่อน หรือบางทีก็ทำกันง่าย ๆ คือ โอนเงินซ้ำไปอีกรอบ แต่เปลี่ยนเลขที่บัญชีปลายทางในระบบ Internet banking ก่อนจะเปลี่ยนกลับเมื่อโอนเงินเรียบร้อย
เมื่อเงินถูกโอนไปเรียบร้อยแล้ว เราก็พบรายการ Journal entry มากมายในระบบ ที่ถูกสร้างขึ้นมาโดย Username ของพนักงานหลายคน เพื่อทำการยักย้ายถ่ายเท และซุกซ่อนยอดที่ Outstanding เหล่านี้ไปไว้ที่ Account code อื่น ๆ
ก็คือทำการ Debit / Credit วนไปวนมา เพื่อหลีกเลี่ยงการตรวจสอบนั่นแหละครับ
โดยสรุป เราพบว่าธุรกรรมที่ต้องสงสัยทั้งหมด น่าจะเกิดมาแล้วมากกว่า 9 ปี คือเรียกได้ว่าหวุดหวิดจะหมดอายุความทั่วไป (10 ปี) แล้วหล่ะครับ
ส่วนมูลค่าความเสียหายรวมก็อยู่ที่ราว ๆ 80 ล้านบาท ซึ่งก็เยอะกว่าที่ CFO ประเมินไว้ตอนแรกหลายเท่านัก
ถึงจุดนี้ ยังเหลือปริศนาอีกข้อหนึ่ง คือ ผู้รับเงินของธุรกรรมที่ผิดปกติทั้งหมด ที่เป็นคนเดิมมาตลอด 9 ปี นั้นเป็นใครกันแน่
เราดูชื่อ นามสกุล ที่อยู่ อะไรต่อมิอะไรแล้ว ก็ไม่พบว่ามีความเกี่ยวข้องกับพนักงานของเราเลย รวมทั้งไม่ได้เคยเป็นพนักงานเก่าด้วย และผู้บริหารเองก็ไม่รู้จักคน ๆ นี้มาก่อน
เราลองวิเคราะห์หาธุรกรรมเพิ่มเติมอีกหลาย ๆ แบบ แต่จนแล้วจนรอดก็ไม่เจอผู้รับเงินปลายทางเพิ่ม
ก็เป็นหนึ่งเดียวคนนี้มาตลอด
ในเมื่อเราหมดมุกแล้ว ก็ถึงเวลาเรียกคุยกับพนักงานที่เกี่ยวข้อง
โดยหลักการเราจะไล่คุยจาก “เบาไปหาหนัก” “ต่ำไปหาสูง” “อ่อนไปหาแก่”
ความหมายคือ หากผู้ต้องสงสัยมีหลายคน เราก็จะคุยกันคนที่น่าจะเป็นแค่ลิ่วล้อก่อน แล้วไปจบที่ผู้บงการ หรือคุยจากคนตำแหน่งระดับปฏิบัติการก่อน แล้วค่อยไปที่ระดับผู้บริหาร
หรือเอาง่าย ๆ คือคุยกับเด็ก ๆ ก่อน แล้วค่อยไปคุยกับผู้อาวุโสครับ
ในการสัมภาษณ์คนแรก เราคุยกับ “คุณบิล” ซึ่งทำหน้าที่รับวางบิลจาก Supplier และตรวจสอบการรับสินค้า หรือบริการ
ซึ่งคุยแล้ว เราก็ไม่ค่อยได้ข้อมูลอะไรหรอกครับ เพราะพนักงานคนนี้จริง ๆ แล้วอยู่ Mail room ทำหน้าที่แค่รับเอกสารจาก Supplier และตรวจสอบกับพนักงานที่เกี่ยวข้องในการสั่งซื้อว่าได้ของ หรือได้รับบริการครบถ้วนหรือไม่
อีกอย่าง ธุรกรรมที่ต้องสงสัยทั้งหมด ก็เป็นประเภทการจ่ายเงินที่ไม่ได้อยู่ในขอบเขตที่คุณบิล เป็นคนดูแล
พอเราถามคุณบิลว่าใครรับวางบิลจำพวกนี้ คำตอบคือเป็น “พี่วิว”
“พี่วิว” เป็นใคร ทีแรกเรายังไม่ทราบ แต่จากการสอบถาม CFO ก็พบว่าเป็นเจ้าหน้าที่ในแผนกคนหนึ่งที่ทำหน้าที่เป็น Reviewer (ขั้นตอนที่ 3) ซึ่งแน่นอนว่าเดี๋ยวเราคงได้คุย
ต่อมา เราเลือกสัมภาษณ์ “คุณแพร์” เป็นคนที่สอง ซึ่งคุณแพร์เป็นพนักงานบัญชีทำหน้าที่ Preparer คือเตรียมเอกสารตั้งหนี้ และสร้าง PV ในระบบ เพื่อส่งต่อให้ Reviewer ตรวจสอบ ดังนั้น User Account ของคุณแพร์ ก็ต้องมีสิทธิ์สร้าง และแก้ไขข้อมูลธุรกรรมในระบบได้
พอเตรียมคุณแพร์รายการเสร็จ ก็จะต้องเป็นพนักงานอีกคนหนึ่งเป็นผู้ตรวจทาน (Reviewer) ซึ่งคนนี้จะทำได้แค่ สองอย่างคือ ปฏิเสธ (Reject) รายการนั้น เพื่อให้กลับไปแก้ไข หรือหากทุกอย่างเรียบร้อยดี ก็จะเป็นคนส่งต่อให้ผู้อนุมัติ
พนักงานคนนี้ก็คือ “พี่วิว” ที่เราจะได้พบต่อไปนั่นแหละครับ
ข้อมูลที่ได้จาก “น้องแพร์” คือ เธอเพิ่งทำงานที่นี่มาปีเศษ ๆ ซึ่งก่อนน้องแพร์จะมาทำงาน มีพนักงานที่ทำหน้าที่เดียวกันนี้มาแล้ว 4 รุ่น 4 คน เฉลี่ยอยู่กันแค่คนละไม่ถึง 2 ปี
แถมช่วงแรก ๆ ของการทำงานน้องแพร์เกิดอุบัติเหตุทางรถยนต์ ต้องพักอยู่ รพ. เกือบสองเดือน ก็ได้พี่คนหนึ่งช่วยงานแทน
ใช่แล้ว “พี่วิว” นั่นแหละครับ
พอเราหยิบตัวอย่างธุรกรรมต้องสงสัยให้น้องแพร์ดู เพื่อให้อธิบายที่มาที่ไป ส่วนใหญ่จะได้คำตอบแบบนี้
"อันนี้หนูจำไม่ได้จริง ๆ ค่ะ"
"อันนี้น่าจะจ่ายตอนหนูรักษาตัวอยู่โรงพยาบาล"
"อันนี้หนูทำเอง หนูจำได้ แต่ตอนนั้นหนูเพิ่งมา พี่วิวเค้ามาสอนหนูทำ"
“อันนี้ จริง ๆ ก็ไม่เข้าใจค่ะ แต่พี่วิวเขาสอนหนูว่าให้ทำแบบนี้ หนูก็ทำตามเขาเลย”
คือ Body language ของคุณแพร์ดูไม่น่าสงสัยว่ากำลังโกหก แต่เราก็รู้สึกว่าเธอยังพูดออกมาไม่หมดเพราะความไม่รู้ระคนความตื่นเต้น
เราก็ค่อย ๆ ตะล่อมถามไปเรื่อย ๆ จนสุดท้ายน้องแพร์ก็ยอมรับมาอย่างหนึ่งว่า ...
ในช่วงที่เธอรักษาตัวอยู่ที่ รพ. เนื่องจากประสบอุบัติเหตุ เธอได้ให้ Username กับ Password ในการเข้าระบบบัญชีกับพี่วิวไว้
เหตุผลคือพี่วิวจะได้ทำงานสะดวก ไม่ต้องไปขอ IT หรือเจ้านาย ให้แก้ไขให้
"แต่หลังจากกลับมาทำงาน หนูก็เปลี่ยน Password นะคะ" น้องแพร์แก้ตัว
ทีมงานเราก็เลยถามต่อว่า “แปลว่าหลังจากคุณกลับมาทำงาน พี่วิวก็เข้าระบบด้วย Username ของคุณแพร์ไม่ได้แล้วสินะ?”
เธอตอบว่า "อ๋อ ... จริง ๆ พี่เค้าก็มาถาม Password อีกนะ หนูก็ให้ไปค่ะ"
(ทีมงาน ...)
หลังจากคุยกับน้องแพร์ เราก็เตรียมตัวจะพบกับพนักงานคนอื่น ๆ ไป
แต่ไม่กี่วันหลังจากนั้น เราก็ต้องยุติการสัมภาษณ์โดยปริยาย ...
เหตุผลแรก คือ เราติดต่อพี่วิวไม่ได้แล้ว ...
เหตุผลที่สองคือ พนักงานคนต่อไปที่จะขอคุย ซึ่งเป็นคนทำหน้าที่จ่ายเงินผ่าน Internet Banking นั้น ก็ติดต่อไม่ได้เช่นกัน
เราได้ยินมาว่า เธอไม่มาทำงานหลายวันแล้ว ซึ่งพอสอบถามดูว่าเป็นใคร
เราก็ต้องประหลาดใจที่พบว่าพนักงานคนนั้นคือ “พี่วิว” นั่นเอง ...
ตอนนั้นเราไม่เข้าใจว่า ทำไมบริษัทนี้เขาถึงให้คุณวิวทำหลายหน้าที่เหลือเกิน
แต่โดยสรุปก็คือ จาก 7 ขั้นตอนของการทำงานที่ควรจะมีพนักงาน 7 คนแบ่งหน้าที่กันทำ
กลับมีอยู่ 3 หน้าที่ตกเป็นของ “พี่วิว” ของน้อง ๆ เป็นคนดูแลเอง
แถมตำแหน่งของ “น้องแพร์” ที่ควรจะแบ่งแยกกับ “พี่วิว” โดยชัดเจนนั้น พี่วิวก็สามารถทำหน้าที่ตรงนั้นแทนได้สบาย ๆ เพราะมี Username กับ Password จากน้องแพร์
พอเป็นแบบนี้ก็ เราก็พอเข้าใจแล้วว่าธุรกรรมการจ่ายเงินอันเป็นทุจริตทั้งหมดนั้น น่าจะเป็นฝีมือพี่วิวเป็นคนจัดการ แต่ก็ยังเหลืออีกสองคำถามที่คาใจคือ
1) บุคคลภายนอกที่มาสมอ้างรับเงินเป็นใครกันแน่
2) ใครบ้างที่เป็นผู้สร้าง Journal entry เพื่อโยกย้ายยอดเงินที่ Outstanding ที่เกิดจากการจ่ายไปให้บุคคลภายนอกโดยทุจริต
สำหรับคำถามแรกเราขอให้น้องแพร์ลองเปิด Facebook ให้ดูนิดหน่อย เผื่อจะเจออะไรน่าสนใจ
เปิดดูโน่นนี่ไม่นาน เราก็พบว่าบุคคลต้องสงสัยนี้น่าจะเป็นญาติสนิทของพี่วิวนั่นเอง แต่ใช้คนละนามสกุล
แถมพนักงานที่นี่ และผู้บริหารในบริษัทก็เคยเจอคน ๆ นี้มาบ้าง แต่รู้จักเพียงชื่อเล่น
ไม่มีใครระแคะระคายว่าเขานี่แหละ คือผู้มีส่วนแบ่งรายได้จากที่นี่มาตลอดหลายปี !!!
ส่วนคำถามที่ 2 พอลองสรุป Username ที่เป็นคนสร้าง Journal Entry ที่ใช้กลบเกลื่อนความผิด ก็พบว่าเป็นพนักงาน และอดีตพนักงานที่ที่คุณวิวเคยสอนงานมาแทบทั้งหมด
... บางรายการก็ทำตามที่พี่วิวสั่ง โดยพี่วิวอ้างว่าเป็นการ Adjust บัญชี
... บางรายการก็ Login เข้าระบบให้พี่วิวเข้าไปทำ JV ภายใต้ชื่อตัวเอง
... บางรายการก็ไม่แน่ใจว่าเกิดขึ้นได้อย่างไร แต่หลาย ๆ คนก็พูดตรงกันว่า พี่วิวอาจจะเคยขอ Password ของตัวเองมาก่อน
เรามีโอกาสได้คุยกับพนักงานคนอื่น ๆ และอดีตพนักงานที่เคยทำงานในตำแหน่งเดียวกันกับน้องแพร์บ้าง ก็ได้ทราบข้อมูลว่าทุก ๆ คนในแผนกบัญชี ต้องเคยผ่านมือพี่วิวมาก่อน
หมายถึง พี่วิว จะเป็นคนสอนงานทุกคน โดยเฉพาะคนในตำแหน่ง Preparer
และแน่นอน หลังจากทำงานกับพี่เขาไม่นาน ทุกคนต้องเคยให้ Password เข้าระบบไว้กับพี่วิว
พอเราได้คุยกับ IT ก็พบอีกว่า พี่วิวนั้น เป็นทีมงานที่ยังคงหลงเหลือมาตั้งแต่ยุคแรก ๆ ที่มีการพัฒนาระบบบัญชีของบริษัท
เธอเป็นคนที่ให้ Requirement กับทาง IT ในการพัฒนาระบบที่ใช้ในปัจจุบัน
นั่นคือ Flow การทำงานทั้งหมดเป็นอย่างไร พี่วิวรู้ดีที่สุด
IT แจ้งเราว่าเพิ่มเติมว่า อันที่จริง User account ของคุณวิวนั้น มีสิทธิในการแก้ไขข้อมูลหลาย ๆ อย่างในระบบได้ ซึ่งรวมถึงข้อมูลเลขที่บัญชีธนาคารของผู้รับเงินด้วย
เหตุผลที่ทาง IT ให้ไว้คือ พี่วิวเธอเป็นคนให้ Requirement ของระบบ เธอก็เลยขอมีสิทธิเพิ่มขึ้นเป็น Superuser เพื่อใช้ Test ระบบด้วย และมันก็ส่งผลให้เธอมีสิทธิพิเศษมากมายที่หลาย ๆ คนก็ไม่รู้ และเธอก็ไม่บอกใคร
(ทีมงาน ...)
ถ้าดูที่อายุงานของพี่วิว ก็จะพบว่าเธออยู่ที่นี่มาก่อนทุกคนในแผนกบัญชี
เผลอ ๆ จะอยู่มานานกว่าทุกคนในบริษัทด้วยซ้ำ
เราก็เลยถามว่าไม่สงสัยเลยเหรอว่าทำไมพี่วิวเขาใจดีจัง คอยสอนงานน้อง ๆ และทำหน้าที่หลายอย่างร่วมกับน้อง ๆ แต่กลับไม่ยอมรับการเลื่อนขั้นหรือเลื่อนตำแหน่งไปที่อื่น
ทุกคนบอกว่า ตั้งแต่รู้จักพี่วิวมา ก็ดูเหมือนว่าที่บ้านพี่เขาก็มีฐานะ เธอขับรถหรู เที่ยวต่างประเทศประจำ (โดยเฉพาะมาเก๊า !!! ) และพี่เขาก็เป็นแบบนั้นมาตลอด ทำให้ไม่มีใครสงสัยในสถานะทางการเงินของเธอ
และคิดว่าที่เธอไม่ยอมไปไหนเพราะไม่เดือดร้อนเรื่องเงิน คืออยู่ที่นี่ก็สบายดี
พนักงานคนหนึ่งเล่าให้เราฟังว่า
“พี่วิวเขาชอบพาน้อง ๆ ในแผนกไปเลี้ยงข้าว ไปคาราโอเกะ หรือไปเที่ยวต่างจังหวัด ใครมีอะไรขาดเหลือพี่เขาก็ให้ยืมเงินด้วยนะ”
เราถามต่อว่า แล้วเรื่องที่พี่วิวเขาขอ Password เข้าระบบงานจากหลาย ๆ คนในแผนกนี่ ไม่มีใครตะขิดตะขวงใจบ้างเลยเหรอ
“อืม... ก็อย่างที่บอกหน่ะค่ะ พี่เขาอยู่มานานแล้ว เราก็เลยไม่คิดอะไรกัน ...”
พนักงานคนนึงอธิบายให้เราฟัง
“สำหรับพวกเรา... พี่เขาเหมือนศาลพระภูมิค่ะ”
สิ่งที่เราควรเรียนรู้จากกรณีศึกษานี้ได้แก่
1) Segregation of Duty หรือการแบ่งแยกหน้าที่ เป็นเรื่องสำคัญ
2) Job Rotation หรือการหมุนเวียนตำแหน่งงาน เป็นเรื่องสำคัญ บางที่บังคับให้ลาพักร้อนเพื่อเปิดโอกาสให้คนอื่นมาทำงานแทนคนที่ทำประจำ
3) ความตระหนักใน IT Controls (เช่น การห้ามเปิดเผย Password เข้าระบบงาน) ก็เป็นเรื่องสำคัญ
4) Risk-based IT Audit และ การตรวจสอบด้วยการทำ Analytics ก็เป็นเรื่องสำคัญ คืออย่าตรวจแค่ตาม Checklist เดิม ๆ แต่ควรตรวจจาก Risk profile ณ ขณะนั้นเป็นสำคัญ
และสุดท้าย ข้อ 5) อย่างหวังพึ่งแต่ External auditor เพราะพวกเขาเหล่านั้นตรวจสอบจากข้อมูลที่พนักงานของเราเตรียมให้
สำหรับที่นี่ ลองเดาสิครับว่าใครที่ CFO ให้ไปทำงานกับ External auditor เป็นประจำ?
ใช่แล้ว ... ก็พี่ศาลพระภูมิ เอ้ย พี่วิวของเรานั่นแหละครับผม
(ทีมงาน ...)
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
