เปิดชื่อ 4 อปท. สตง. แจ้ง หน.ส่วนราชการ-ป.ป.ช.สอบสวนลงโทษเอาผิด จนท.รัฐ อาศัยช่องโหว่ระบบจ่ายเงิน KTB Corporate Online ทุจริตยักยอกเงินหลวง รวมข้อเสนอแนะ 7 ประการ ชง 'ก.คลัง-มหาดไทย' ป้องกันความเสียหายในอนาคต
สำนักข่าวอิศรา (www.isranews.org) รายงานความคืบหน้าการขยายผลตรวจสอบปัญหาเงินขาดบัญชีของหน่วยงานรัฐ ภายหลังสำนักงานการตรวจเงินแผ่นดิน (สตง.) ตรวจสอบพบพฤติการณ์เจ้าหน้าที่ส่วนราชการ และองค์ปกครองส่วนท้องถิ่น (อปท.) จำนวนหลายแห่ง อาศัยช่องโหว่จากการจ่ายเงินผ่านระบบ KTB Corporate Online กระทำการทุจริตในช่วงปี 2563 – 2566 และสร้างความเสียหายเป็นจำนวนเงินกว่า 332 ล้านบาท
- รัฐเสียหาย 332 ล้าน! สตง.แฉเล่ห์จนท.สบช่องทุจริตระบบ KTB มีโอนเงินเล่นพนันออนไลน์40 ล.
- เปิดหมด! สารพัดเล่ห์จนท.16 ส่วนราชการ-อปท.สบช่องทุจริตระบบจ่ายเงินรัฐ เสียหายยับ 332 ล.
ล่าสุด แหล่งข่าวระดับสูงจาก สตง. เปิดเผยสำนักข่าวอิศราว่า เกี่ยวกับปัญหานี้ สตง.ได้มีการแจ้งผลการตรวจสอบให้หัวหน้าส่วนราชการ และสำนักงานป้องกันและปราบปรามการทุจริตแห่งชาติ (ป.ป.ช.) ดำเนินการสอบสวนลงโทษเจ้าหน้าที่รัฐที่พบพฤติการณ์ทุจริตที่ก่อให้เกิดความเสียหายแก่เงินงบประมาณรัฐ ไปแล้วหลายแห่ง อาทิ เทศบาลตำบลบุณฑริก อำเภอบุณฑริก จังหวัดอุบลราชธานี, เทศบาลตำบลลาดยาว อำเภอลาดยาว จังหวัดนครสวรรค์ , อบต.นางัว อำเภอนาหว้า จังหวัดนครพนม และองค์การบริหารส่วนตำบล (อบต.) วังม้า อำเภอลาดยาว จังหวัดนครสวรรค์
แหล่งข่าว กล่าวว่า ผลการตรวจสอบทั้ง 4 หน่วยงานนี้ เกี่ยวกับการจ่ายเงินผ่านระบบ KTB Corporate Online พบข้อมูลใน 3 ประเด็นหลัก คือ 1. เจ้าหน้าที่ที่เกี่ยวข้องอาศัยโอกาสที่ตนมีสิทธิเข้าใช้งานในฐานะ Maker2 และ Authorizer ได้เข้าไปจัดทำรายการขอโอนเงินผ่านเมนูชำระค่าสินค้าและบริการ และอนุมัติการโอนเงินรายการดังกล่าวเข้าบัญชีเงินฝากของตนเอง โดยที่ตนเองไม่มีสิทธิรับเงินและไม่มีเอกสารหลักฐานประกอบการเบิกจ่ายเงินให้ตรวจสอบ
2. เจ้าหน้าที่อาศัยโอกาสเข้าไปยืนยันตัวตนในระบบ KTB Corporate Online ในฐานะ Authorizer แทนผู้บังคับบัญชา ยืนยันการเปลี่ยนแปลงรหัสการเงินและจดทำรหัสไว้สร้างรายการโอนเงินในระบบฯ โดยไม่มีการจัดทำฎีกาเบิกจ่ายเงินและไม่ได้รับอนุมัติการเบิกจ่ายเงินจากผู้มีอำนาจอนุมัติ แต่ได้ใช้รหัสผ่านของผู้อนุมัติ เข้าไปอนุมัติการโอนเงินจากบัญชีหน่วยงาน เข้าบัญชีตนเองเพื่อนำไปใช้ประโยชน์ส่วนตัว
3. เจ้าหน้าที่ไม่กระทำการตามหน้าที่ในการตรวจสอบการจ่ายเงินโดยวิธีการโอนผ่านระบบ KTB Corporate Online มีตรวจสอบเพียงยอดเงินคงเหลือที่ปรากฏในรายการสรุปความเคลื่อนไหวทางบัญชี ที่เรียกจากระบบฯ แต่ไม่ได้ตรวจสอบรายการจากรายงานสรุปผลการโอนเงิน และไม่ได้มีการจัดทำทะเบียนคุมการโอนเงิน ไม่ดำเนินการตรวจสอบการเบิกจ่ายเงินกับข้อมูลในระบบฯ ทุกสิ้นวัน ไม่ดำเนินการกำกับและควบคุมตรวจสอบให้มีการจัดทำรายงานสถานะการเงินประจำวัน และไม่ดำเนินการกำกับและควบคุมการตรวจสอบให้มีการจัดทำรายงานประจำเดือน เพื่อนำเสนอผู้บังคับบัญชาตามลำดับ
แหล่งข่าว กล่าวอีกว่า ส่วนปัญหาภาพรวมสาเหตุการทุจริตในภาพรวมพบว่าส่วนใหญ่เกิดการทุจริตโดยผู้ปฏิบัติหน้าที่เกี่ยวกับการเงินและบัญชีของหน่วยงานทำการโอนเงินผ่านระบบ Krungthai Corporate Online จากบัญชีเงินฝากธนาคารของหน่วยงานภาครัฐเข้าบัญชีธนาคารตนเองหรือบัญชีม้าหรือบัญชีผู้ใกล้ชิด
นอกจากนี้ ยังพบข้อบกพร่องของการควบคุมภายในของการรับเงิน การจ่ายเงิน และการนำเงินส่งคลัง ผ่านระบบ Krungthai Corporate Online ในภาพรวม 2 ประเภทหลัก คือ 1. มีการกำหนดการควบคุม แต่ไม่สามารถป้องกันหรือตรวจพบ และแก้ไขข้อผิดพลาดได้ อาทิ การควบคุมการดำเนินงานของผู้ปฏิบัติงานตามที่กฎหมาย ระเบียบ หลักเกณฑ์ และวิธีปฏิบัติกำหนด ไม่เพียงพอ เช่น ไม่มีการจัดทำคำสั่งแต่งตั้งบุคคลผู้มีสิทธิเข้าใช้งานระบบ และการกำหนดหน้าที่ความรับผิดชอบ และการแบ่งแยกหน้าที่ไม่เหมาะสม และ 2. ไม่มีการควบคุมที่จำเป็น กล่าวคือ ไม่มีการรักษาความปลอดภัยในระบบ เช่น ไม่เปิดใช้ระบบรักษาความปลอดภัยแบบสองชั้น (2FA) และไม่มีการจัดการสิทธิการเข้าใช้งานของบุคคลผู้ปฏิบัติหน้าที่ในระบบ เช่น ไม่มีการกำหนดให้ทบทวนสิทธิบัญชีผู้ใช้งาน (User) ในการเข้าถึง
เบื้องต้น สตง. ได้มีข้อเสนอแนะให้กระทรวงการคลัง และกระทรวงมหาดไทย พิจารณากําหนดมาตรการ หรือวิธีการควบคุมในการเบิกจ่ายเงินผ่านระบบ Krungthai Corporate Online เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นแก่การเงินการคลังของรัฐ ดังต่อไปนี้
1. พิจารณากำหนดให้มีการใช้ระบบรักษาความปลอดภัยแบบสองชั้น (Two-Factor Authentication:2FA) ซึ่งต้องมีการยืนยันรหัสผ่านใช้ครั้งเดียว (One Time Password : OTP) ในขั้นตอนการ (Login) เข้าสู่ระบบ Krungthai Corporate Online และในขั้นตอนการอนุมัติจ่ายเงิน เพื่อป้องกันผู้ที่ไม่มีส่วนเกี่ยวข้อง เข้าใช้งานในระบบ Krungthai Corporate Online
2. กรณีมีการโยกย้ายหรือเปลี่ยนแปลงบุคคลที่ปฏิบัติหน้าที่เป็นผู้ดูแลระบบ (Company Administrator) ให้หัวหน้าส่วนราชการมีคำสั่งเป็นลายลักษณ์อักษรแต่งตั้งบุคคลเพื่อปฏิบัติหน้าที่ดังกล่าวขึ้นใหม่ทันที พร้อมทำหนังสือแจ้งธนาคารกรุงไทย จำกัด (มหาชน) โดยแนบใบคำขอเปลี่ยนแปลงข้อมูลบริการ Krungthai Corporate Online และเอกสารประกอบให้ครบถ้วน ทั้งนี้ เพื่อให้การกำหนดสิทธิผู้ใช้งาน(User) ในระบบ Krungthai Corporate Online เป็นไปอย่างต่อเนื่อง และป้องกันไม่ให้มีการนำสิทธิของผู้ดูแลระบบคนเดิมมาใช้ในการเปลี่ยนแปลงผู้ใช้งาน (User) ในระบบได้
3. กรณีหน่วยงานมีการเปลี่ยนแปลงข้อมูลของผู้มีสิทธิรับเงิน เช่น ชื่อ - สกุล เลขที่บัญชีเงินฝากธนาคาร เป็นต้น ควรกำชับให้มีการจัดทำแบบแจ้งข้อมูลการรับเงินผ่านระบบ Krungthai Corporate Online ให้เป็นปัจจุบัน พร้อมแนบหลักฐานประกอบการเปลี่ยนแปลง เช่น สำเนาหน้าสมุดบัญชีเงินฝากธนาคาร โดยให้มีการปฏิบัติเช่นเดียวกันกับการโอนเงินผ่านระบบ Krungthai Corporate Online ให้แก่ผู้มีสิทธิรับเงินครั้งแรกเพื่อใช้ในการสอบทานความถูกต้องของผู้มีสิทธิรับเงินก่อนการอนุมัติจ่ายเงิน
4. พิจารณากำหนดมาตรการเกี่ยวกับการกำหนดสิทธิผู้ใช้งาน โดยกำชับมิให้มีการกำหนดสิทธิผู้ใช้งานเป็น Company User Single ในระบบ Krungthai Corporate Online ของหน่วยงาน เนื่องจากการกำหนดสิทธิดังกล่าว ทำให้ผู้ปฏิบัติงานสามามารถบันทึกรายการและอนุมัติจ่ายเงินได้โดยบุคคคลคนเดียวซึ่งขัดกับหลักการแบ่งแยกหน้าที่และการตรวจสอบถ่วงดุล
5. พิจารณากำหนดมาตรการให้หน่วยงานมีการทบทวนสิทธิบัญชีผู้ใช้งานในการเข้าถึงระบบKrungthai Corporate Online และปรับปรุงบัญชีผู้ใช้งานอย่างสม่ำเสมอ หรืออย่างน้อยปีละหนึ่งครั้ง โดยให้ผู้ดูแลระบบ (Administrator) เรียกรายงานที่แสดงสถานะบัญชีผู้ใช้งานในปัจจุบัน เพื่อทำการตรวจสอบความถูกต้องว่าเป็นผู้มีหน้าที่ปฏิบัติงานตามที่ได้รับมอบหมายหรือไม่ และจัดทำรายงานเสนอผู้บริหาร เพื่อรับทราบและจัดเก็บหลักฐานในการทบทวนสิทธิตามรอบระยะเวลาไว้สำหรับการตรวจสอบต่อไป
6. พิจารณากำหนดมาตรการให้หน่วยงานจัดให้มีการประเมินการควบคุมภายใน เรื่อง การรับเงินการจ่ายเงิน และการนำเงินส่งคลังผ่านระบบ Krungthai Corporate Online อย่างสม่ำเสมอ
7. พิจารณากำหนดมาตรการให้ผู้ตรวจสอบภายในของส่วนราชการ สอบทานการควบคุมภายในด้านการรับเงิน การจ่ายเงิน และการนำเงินส่งคลังผ่านระบบ Krungthai Corporate Online เป็นประจำและอย่างสม่ำเสมอ
8. พิจารณาให้หน่วยงานมีการจัดทำคู่มือการทำงาน (Manual) หรือ "เอกสารขั้นตอนการทำงาน" เกี่ยวกับการรับเงิน การจ่ายเงิน และการนำเงินส่งคลังผ่านระบบ Krungthai Corporate Online
9. กำชับให้หน่วยงานจัดให้มีการควบคุม กำกับ ดูแล การปฏิบัติงานของเจ้าหน้าที่ผู้รับผิดชอบเกี่ยวกับการรับเงิน การจ่ายเงิน และการนำเงินส่งคลังผ่านระบบ Krungthai Corporate Online ให้ปฏิบัติตามหลักเกณฑ์ มาตรการ แนวทาง และวิธีปฏิบัติที่กระทรวงการคลังกำหนดอย่างเคร่งครัด
สำนักข่าวอิศรา รายงานเพิ่มเติมว่า ก่อนหน้านี้ เมื่อวันที่ 8 พ.ย.2567 ธนาคารกรุงไทย ได้ส่งข่าวประชาสัมพันธ์ชี้แจงสำนักข่าวอิศรา ยืนยันว่า ระบบ Krungthai Corporate Online เป็นระบบการบริหารจัดการทางการเงินสำหรับหน่วยงาน ที่มีความปลอดภัยตามมาตรฐานในระดับสากล มีการพัฒนาอย่างต่อเนื่อง เพื่อเพิ่มประสิทธิภาพในการทำธุรกรรมทางการเงินออนไลน์ครบวงจร มีการทำรายการแบบมีผู้อนุมัติหลายขั้น การทำธุรกรรมทุกครั้งต้องมีการยืนยันด้วยรหัส (OTP) อีกทั้งสามารถตรวจสอบชื่อบัญชีผู้รับเงินก่อนอนุมัติรายการ