Professional Documents
Culture Documents
่ อ
้ งรูเ้ ท่าท ัน
โดย
คุณเดชา ศริ ส
ิ ท
ุ ธิเดชา CIA,CPIA
2
What stakeholders normally expect
from a good company?
3
What is Fraud?
4
Definition of “ Fraud”
Any illegal act characterized by deceit, concealment, or
violation of trust.
These acts are not dependent upon the threat of violence or
physical force.
Frauds are perpetrated by parties and organizations to obtain
money, property, or services; to avoid payment or loss of
services; or to secure personal or business advantage.
Source : Glossary, International Standards for the Professional Practice of Internal Auditing, IPPF
5
We are the world's largest anti-fraud organization
and premier provider of anti-fraud training and education.
Source: https://www.acfe.com/default.aspx
6
Types of Fraud
Fraud against a company can be committed either internally by
employees, managers, officers, or owners of the company, or
externally by customers, vendors, and other parties.
7
Internal Fraud
8
External Fraud
9
10
Some Interesting Facts
11
12
ACFE: 2018 Global Study
13
ACFE: 2018 Global Study
14
15
ACFE: 2018 Asia-Pacific Edition
16
ACFE: 2018 Asia-Pacific Edition
17
18
19
20
21
PwC 2018 Fraud in Thailand
22
PwC 2018 Fraud in Thailand
23
PwC 2018 Fraud in Thailand
24
PwC 2018 Fraud in Thailand
25
One global movement sharing one vision: a world in which government, business, civil society and
the daily lives of people are free of corruption.
In 1993, a few individuals decided to take a stance against corruption and created Transparency
International. Now present in more than 100 countries, the movement works relentlessly to stir
the world’s collective conscience and bring about change.
Source : https://www.transparency.org/whoweare/organisation
26
27
28
29
30
Corruption Perceptions Index 2012 - 2018
CPI CPI CPI CPI CPI CPI CPI
Rank Rank
Country score score score score score Score Score
2018 2017
2018 2017 2016 2015 2014 2013 2012
Singapore 85 3 84 6 84 85 84 86 87
Brunei Darussalam 63 31 62 32 58 60 55
Malaysia 47 61 47 62 49 50 52 50 49
China 39 87 41 77 40 37 36 40 39
Indonesia 38 89 37 96 37 36 34 32 32
Philippines 36 99 34 111 35 35 38 36 34
Thailand 36 99 37 96 35 38 38 35 37
Timor-Leste 35 105 38 91 35 28 28 30 33
Vietnam 33 117 35 107 33 31 31 31 31
Laos 29 132 29 135 30 25 25 26 21
Myanmar 29 132 30 130 28 22 21 21 15
Cambodia 20 161 21 161 21 21 21 20 22
31
Why do people commit fraud?
32
Fraud & Error
33
34
Why do people commit fraud?
No single reason behind fraud
สว่ นใหญ่จะประกอบไปด ้วย:
• แรงจูงใจของผู ้กระทาผิดทีม
่ ศ ั ยภาพ
ี ก
• เงือ
่ นไขตามทีผ
่ ู ้คนสามารถหาเหตุผลเข ้าข ้างตนเองในการทาทุจริต
• โอกาสในการก่อทุจริต
• รับรู ้ถึงความเหมาะสมของเป้ าหมายในการฉ ้อโกง
• ความสามารถทางเทคนิคของผู ้ทาทุจริต
ี่ งทีค
• ความเสย ่ าดหวังและทีเ่ กิดขึน
้ จริงหลังการฉ ้อโกง
่ ามมาจากการถูกตรวจพบ (รวมถึงผลทีไ่ ม่ใช ่
• ความคาดหวังของผลทีต
ความผิดทางกฎหมาย เชน่ การสูญเสย
ี งาน มลทินของครอบครัว รายได ้
จากการก่ออาชญากรรม และบทลงโทษทางอาญา)
35
Pressure : Motivation or Incentive
36
Opportunity
• ระบบการควบคุมภายในทีอ ่ อ
่ นแอ
ิ
• ไม่มรี ะบบรักษาความปลอดภัยต่อทรัพย์สน
37
Rationalisation
การหาเหตุผลมาสนับสนุนการกระทา
• อ ้างความจาเป็ น
• มองว่าไม่มค ี หายมากต่อผู ้ถูกกระทา
ี วามเสย
• อ ้างเหตุผลอันสมควร : ผู ้ถูกกระทาสมควรได ้รับแล ้ว หรือ
เพราะฉันถูกรังแก ไม่ได ้รับความเป็ นธรรม
38
PwC Global survey
39
ACFE : The Asia-Pacific region
40
41
42
43
PwC Thailand survey
44
ACFE: 2018 Global Study
45
ACFE: 2018 Global Study
46
Examples of Fraud
47
Types of Internal [Occupational] Fraud
48
What type of fraud is this event?
ั่ (Corruption)
3. คอร์รัปชน
49
ท่านคิดว่า
องค์กรของ
ท่านอาจจะมี
Risk –
fraud
ประเภท
ใดบ้าง?
50
PwC 2018 Fraud in Thailand
51
หน่วยงานทีม
่ ักเกิดการทุจริต
52
การผลิต
53
การจัดซื้อ จัดจ้าง
• การเรียกร้องผลประโยชน์จากการอนุมัติเพื่อการจัดซื้อจัดจ้างสินค้าและบริการต่างๆ
• ฮั้วประมูล
• นาข้อมูลของ Supplierรายหนึ่งไปเปิดเผยให้ Supplier อีกรายหนึ่งทราบ เพื่อเสนอ
ราคาที่ต่ากว่า
• การจัดหาจากผู้ขายที่มีความสัมพันธ์กัน
• จัดหาจากนายหน้า
• เปิดเผยราคากลางให้ผู้ขายทราบ
54
คลังสินค้า
• ขโมยสินค้า/พัสดุ
• บันทึกบัญชีรับพัสดุน้อยกว่าที่รับจริง แล้วนาส่วนต่างไปขายเอาผลประโยชน์เข้า
ตัวเอง
• ไปเช่าคลังภายนอก ซึ่งมีความสัมพันธ์กัน
• ไม่ตรวจนับสต็อคตามแผน
• จ่ายของโดยไม่มีใบเบิก
55
การจัดส่ง
• ว่าจ้างผู้รับเหมาขนส่ง ที่มีความสัมพันธ์กัน
• กานาสินค้าไปขายระหว่างทาง
• การผสมสิ่งปลอมปน ระหว่างทาง
• การวนชั่งน้าหนัก
• การบรรทุกเกินกฎหมายกาหนด
• การคานวณระยะทางขนส่งเกินจริง
• การติดสินบนพนักงานตรวจรับ เพื่อลัดคิว หรือให้ตรวจรับคุณภาพผ่านเกณฑ์
• ส่งของไม่ครบ แล้วนาไปขาย
56
งานขายและลูกหนี้
57
การตลาดและส่งเสริมการขาย
58
การรับ – จ่ายเงิน
• Lapping ปลอมแปลงเอกสารการเบิกค่าใช้จ่าย
• นาค่าใช้จ่ายส่วนตัว/ค่าใช้จ่ายที่ไม่เกี่ยวข้องกับบริษัทเบิกกับบริษัท
• ขโมยเงินสด
• นาเงินสดจากวงเงินสดย่อยไปใช้ แล้วปรับปรุงบัญชี หรือจัดทาทะเบียนคุมเงินสด
ให้ตรงกับเงินสดในมือ
• นาเงินมัดจาไม่ฝากเข้าบัญชีบริษัท ไปใช้ส่วนตัว
• เบิกค่าเลี้ยงรับรอง โดยที่ไม่ได้เลี้ยงจริง
59
งานบัญชี
60
งานบุคคล
• การเรียกร้องค่าตอบแทนจากการบรรจุพนักงานเข้าทางานในองค์กร
• การเรียกร้องค่าตอบแทนในกระบวนการสอบสวนทางวินัย
• การแก้ไขข้อมูลค่าล่วงเวลาหรือค่าตอบแทนอื่นๆ
• เบิกค่าล่วงเวลา แต่ไม่ได้ทางานจริง
• การนาเงินของพนักงานที่ตนเองไปรับแทนมาจากหน่วยงานราชการ เช่น เงิ น
ประกันสังคมไปใช้ส่วนตัว
61
งานธุรการ
• การนาเงินสดค่าขายเศษวัสดุไปใช้ส่วนตัว
• ให้หน่วยงานราชการทาเรื่องขอบริจาคจากบริษัท แต่ไม่มีการนาเงินไปใช้ตามที่ขอ
บริจาค
• จัดทาเอกสารปลอมมาเบิกเงิน ไปบริจาคหน่วยงานราชการ
• ขออนุมัตินาของออกนอกบริษัท เพื่อไปใช้งานกิจกรรมภายนอก แต่ไม่นากลับมา
คืนบริษัท คืนไม่ครบ เปลี่ยนของ หรือนาไปขาย
• จัดทาใบอนุมัติเดินทางปลอม ซื้อตั๋วเดินทางไปทัศนศึกษาต่างประเทศ
62
Source :
63
Source: PwC 2018 Fraud in Thailand
64
The key characteristics and challenges of
today’s digital fraud
65
เทคนิคที่ Hacker ใช้ในการขโมย Email
Social Engineering
Telephone – ผู้ไม่หวังดีโทรมาหลอกลวง
เหยื่ อ ว่ า เหยื่ อ ได้ รั บ สิ ท ธิ ใ ยการลดหย่ อ นภาษี จ าก
กรมสรรพากรจึ ง อยากโอนเงิ น ภาษี คื น ให้ ผ่ า นทาง
ธนาคาร ขอให้เหยื่อแจ้งหมายเลขบัญชีธนาคารให้ทราบ
และ ขอให้ทาการโอนเงินเข้ามายังบัญชีของผู้โจมตีเพื่อ
เป็นการยืนยันว่า เหยื่อเป็นเจ้าของบัญชีนั้นจริง ซึ่งหาก
เหยื่อหลงเชื่อก็จะทาการโอนเงินไปให้ผู้โจมตี
66
เทคนิคที่ Hacker ใช้ในการขโมย Email
Social Engineering
Dumpster Diving – เป็นเทคนิคการค้นหาข้อมูลสาคัญจากถังขยะของ
บุคคลหรือองค์กรที่เป็นเป้าหมาย เพื่อที่จะได้ข้อมูลสาคัญ เช่น รหัสผ่าน
ที่จดบันทึกไว้ในกระดาษ แผนผังองค์กร หมายเลขโทรศัพท์ รวมถึงข้อมูล
สาคัญอื่นๆ ที่เก็บไว้บนสื่อบันทึกข้อมูลทุกประเภท
67
เทคนิคที่ Hacker ใช้ในการขโมย Email
Social Engineering
Online – ผู้ไม่หวังดีส่งอีเมล์ถึงลูกค้าของธนาคารโดย
อาจใช้ Email Address ที่เหมือนหรือใกล้เคียง
Email Address ของธนาคาร (Fake/Spoof Email)
โดยอ้างว่าธนาคารได้มีการปรับปรุง ระบบรักษาความ
ปลอดภั ย จึ ง อยากให้ ลู ก ค้ า เข้ า สู่ ร ะบบเพื่ อ ยื น ยั น
ข้ อ มู ล ส่ ว นบุ ค คลโดยคลิ ก ที่ ลิ ง ค์ ที่ ส่ ง มาในอี เ มล์
(Phishing Email) หากผู้ใช้คลิกลิงค์เพื่อที่จะเข้าสู่
ระบบ (Phishing Email) ผู้โจมตีก็จะได้ชื่อผู้ใช้และ
รหัสผ่านสาหรับการเข้าใช้งานธนาคารของเหยื่อไป
68
ตัวอย่าง Fake/Spoof Email โดยใช้ Email Address เหมือนหรือใกล้เคียงกับ Email
Address ของจริง เช่น
Email Address จริง: anonym@scg.co.th
Email Address ปลอม: anonym@scg.co.th (เหมือน Email จริง),
anomym@scg.co.th
anonym@scg.c0.th
anomym.scg.co.th@mail.com
69
เทคนิคที่ Hacker ใช้ในการขโมย Email
Fake/Spoof Email
ตัวอย่าง Fake/Spoof Email ที่แจ้งว่า บัญชีธนาคารของบริษัท อยู่ระหว่างการ
ตรวจสอบทาให้ไม่สามารถใช้งานได้ ขอให้เปลี่ยนเลขที่บัญชีในการโอนเงิน
70
เทคนิคที่ Hacker ใช้ในการขโมย Email
Phishing Email
71
เทคนิคที่ Hacker ใช้ในการขโมย Email
72
เทคนิคที่ Hacker ใช้ในการขโมย Email
การขโมย Email
การเข้ามาดาเนินการต่างๆเสมือนเป็นเจ้าของ Email เช่น
• ส่ง Email
• เปลี่ยน Contact List
• กาหนดให้มีการ Forward/Replay Email ไปยัง Email Address อื่น
Hacker ส่วนใหญ่จะใช้เทคนิค Social Engineering ในการหา Password เพื่อเข้าถึง
Email ของเหยื่อ
73
COSO 2013 & Fraud Risk
Management
74
75
COSO was organized in 1985 to sponsor the
National Commission on Fraudulent Financial
Reporting, an independent private-sector
initiative that studied the causal factors that can
lead to fraudulent financial reporting. It also
developed recommendations for public
companies and their independent auditors, for
the SEC and other regulators, and for
educational institutions.
Source : https://www.coso.org/Pages/guidance.aspx
76
Source : https://www.coso.org/Pages/guidance.aspx
77
2016 COSO Fraud Risk Management Guidelines
• Performs comprehensive
• Investigation program
78
การนา COSO 2013 มาประยุกต์ใช้กับการป้องกันการทุจริต
Control Environment • คุณธรรม จรรยาบรรณ
• นโยบายการป้องกันการทุจริต
• ระเบียบการจัดซื้อจัดจ้าง
Fraud Risk • ระบุปัจจัย โอกาส และผลกระทบที่จะเกิดความเสี่ยงจาก
Assessment การทุจริต
Control Activities • Preventive
• Detective
• การกาหนดผู้มีอานาจในการอนุมัติ
• แบ่งแยกหน้าที่
Information and • การสร้าง Awareness เรื่องการป้องกันการทุจริต
Communication
Monitoring • ติดตามผล 79
Samples of Key Risk Factors
80
Source : PWC Internal Audit 2018 Career Deal Session 81
Case Study
83
Law and related anti-fraud
84
มาตรา 89/25 พ.ร.บ.หลักทรัพย์และตลาดหลักทรัพย์
• ในการสอบบัญชีของบริษัทหลักทรัพย์หรือบริษัท ตามมาตรฐานการสอบบัญชี ไม่ว่าจะกระทาใน
ฐานะเป็นผู้สอบบัญชีของนิติบุคคลดังกล่าว หรือในฐานะอื่นซึ่งนิติบุคคลดังกล่าวยินยอมให้สอบ
บัญชีก็ตาม ถ้าผู้สอบบั ญชีพบพฤติการณ์ อันควรสงสัยว่ากรรมการ ผู้จัดการ หรือบุคคลซึ่ ง
รับผิดชอบในการดาเนินงานของนิติบุคคลดังกล่าวได้กระทาความผิดตามมาตรา 281/2 วรรค
สอง มาตรา 305 มาตรา 306 มาตรา 308 มาตรา 309 มาตรา 310 มาตรา 311 มาตรา 312
หรือ มาตรา 313 ให้ผู้สอบบัญชีแจ้งข้อเท็จจริงเกี่ยวกับพฤติการณ์ดังกล่าวให้คณะกรรมการ
ตรวจสอบของบริษัทหลักทรัพย์หรือบริษัทนั้นทราบ เพื่อดาเนินนการตรวจสอบต่อไปโดยไม่
ชักช้า และให้คณะกรรมการตรวจสอบรายงานผลการตรวจสอบในเบืองต้นให้แก่สานักงานและ
ผู้สอบบัญชีทราบภายในสามสิบวันนับแต่วันที่ได้รับแจ้งจากผู้สอบบัญชี
• ในกรณีที่คณะกรรมการตรวจสอบไม่ดาเนินการตามวรรคหนึ่ง ให้ผู้สอบบัญชีแจ้งให้สานักงาน
ทราบ
• พฤติการณ์อันควรสงสัยที่ต้องแจ้งตามวรรคหนึ่ง และวิธีการเพื่อให้ได้มาซึ่งข้อเท็จจริงเกี่ยวกับ
พฤติการณ์ดังกล่าว ให้เป็นไปตามที่คณะกรรมการกากับตลาดทุนประกาศกาหนด
85
ประกาศ ป.ป.ช. ตามาตรา 123/5
• เป็นเรื่องความผิดฐานนิติบุคคลให้สินบนเจ้าหน้าที่รัฐ เจ้าหน้าที่รัฐต่างประเทศ
และเจ้าหน้าที่ขององค์การระหว่างประเทศ
• ทั้ง “บุคคลธรรมดา” และ “นิติบุคคล” มีความผิดทางอาญา
• นิติบุคคลอาจต้องรับผิดในกรณีที่พนักงานหรือบุคคลภายนอกผู้มีความเกี่ยวข้อง
ทางธุรกิจของตนไปให้สินบนเจ้าหน้าที่ของรัฐเพื่อผลประโยชน์ของนิติบุคคลนั้น
• นิติบุคคลอาจไม่ต้องรับผิดหากมีมาตรการควบคุมภายในที่เหมาะสม
• บทลงโทษ
• บุคคลธรรมดา จาคุกไม่เกิน 5 ปี หรือปรับไม่เกิน 100,000 บาท หรือทั้งจา
ทั้งปรับ
• บริ ษั ท ปรั บ ตั้ ง แต่ 1 เท่ า แต่ ไ ม่ เ กิ น 2 เท่ า ของค่ า เสี ย หายที่ เ กิ ด ขึ้ น หรื อ
ประโยชน์ที่ได้รับ
86
การกาหนดมาตรการควบคุมภายที่เหมาะสม
1. การป้องกันการให้สินบนต้องเป็นนโยบายสาคัญจากผู้บริหารระดับสูง มีการสื่อสารที่แสดงออกถึงเจตนารมณ์ในการ
ต่อต้านการให้สินบนเจ้าหน้าที่รัฐและมีส่วนร่วมในการจัดทาและปรับใช้มาตรการควบคุมภายใน
2. กาหนดกระบวนการประเมินความเสี่ยงในการให้สินบนเจ้าหน้าที่รัฐ ตั้งแต่การจัดสรรทรัพยากร การรวบรวมและ
วิเคราะห์ข้อมูลเพื่อประเมินความเสี่ยง ระบุความเสี่ยงการให้สินบนเจ้าหน้าที่รัฐ ประเมินระดับความเสี่ยงทั้งโอกาส
ที่จะเกิดและผลกระทบ กาหนดมาตรการควบุคมความเสี่ยงที่เหมาะสม และการรายงานผล
3. มาตรการควบคุมกรณีมีความเสี่ยงสูงในการให้สินบนเจ้าหน้าที่รัฐ ต้องจัดทาลายลักษณ์อักษร มีรายละเอียดชัดเจน
และสื่อสารให้ผู้เกี่ยวข้องรับทราบ
4. นามาตรการห้องกันการให้สินบนไปปรับใช้กับผู้ที่มีความเกี่ยวข้องกับบริษัท ได้แก่ ผู้ที่ร่วมทาธุรกิจ หรือ ผู้กระทา
การแทนบริษัท หรือบุคคลที่บริษัทมีอานาจควบคุม โดบบริษัทอาจมีโอกาสร่วมรับผิดหากบุคคลเหล่านั้นให้สินบน
เจ้าหน้าที่รัฐเพื่อประโยชน์ของบริษัท
5. ระบบบัญชีที่ดี ตั้งแต่การบันทึกบัญชีต้องมีหลักฐานประกอบ ห้ามบันทึกรายการนอกบัญชี ไม่นารายจ่ายที่เกิดจาก
การให้สินบนมาหักเป็นค่าใช้จ่าย และมีการตรวจสอบบัญชีที่เป็นอิสระ
6. กาหนดแนวทางการบริหารทรัพยากรบุคคลที่สอดคล้องกับมาตรการป้องกันการให้สินบน ตั้งแต่การจ้างงาน ไม่
ลงโทษพนักงานที่ปฏิเสธการให้สินบน การฝึกอบรมเกี่ยวกับนโยบายต่อต้านคอร์ รัปชัน และควรมีทดสอบความรู้
เกี่ยวกับ Code of Conduct
7. กาหนดมาตรการสนับสนุนในการรายงานการกระทาความผิดหรือกรณีมีเหตุน่าสงสัย เช่น มาตรการคุ้มครองผู้
ร้องเรียน กระบวนการรับข้อร้องเรียนและการดาเนินการที่เกี่ยวข้อง ฯลฯ
8. ตรวจสอบและประเมินผลการใช้มาตรการป้องกันการให้สินบนอย่างต่อเนื่องและรายงานผลการตรวจสอบต่อ
คณะกรรมการบริษัทหรือเทียบเท่า หรืออาจมีการเปิดเผยให้ผู้มีส่วนได้เสียรับทราบ
87
88
ทาไมต้องร่วมมือกันแก้ปัญหาคอร์รัปชั่นเชิงระบบ
89
90
Contact : 08 6733 0477
dechadecha@gmail.com
Thank you
The information contained herein is of a general nature and is not intended to address the circumstances of any particular
individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such
information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act upon
such information without appropriate professional advice after a thorough examination of the particular situation. Materials
published may only be reproduced with the consent of FAP.
92