เมื่อคนที่เข้าใจระบบดีที่สุด กลายเป็นผู้ใช้ช่องว่างของระบบ
คอลัมน์ : คุยฟุ้งเรื่องการเงิน
ผู้เขียน : อาจารย์ทอมมี่ อดีตนายกสมาคมนักคณิตศาสตร์ประกันภัยมีคำถามหนึ่งที่ผมมักหยิบยกขึ้นในชั้นเรียนด้านการบริหารความเสี่ยงเสมอว่า “ความเสี่ยงที่อันตรายที่สุดขององค์กรคืออะไร”
หลายคนมักนึกถึงภัยธรรมชาติ วิกฤตเศรษฐกิจ ความผันผวนของตลาด หรือการเปลี่ยนแปลงทางเทคโนโลยี ซึ่งล้วนเป็นความเสี่ยงสำคัญที่องค์กรต้องเตรียมรับมือ แต่ในมุมของการบริหารความเสี่ยง ยังมีความเสี่ยงอีกประเภทหนึ่งที่มักถูกมองข้าม ทั้งที่อาจสร้างความเสียหายได้ลึกและซับซ้อนกว่า นั่นคือ “คนที่เข้าใจระบบดีที่สุด”
โดยปกติองค์กรย่อมต้องการคนที่รู้ระบบ รู้ขั้นตอน รู้กฎเกณฑ์ และสามารถทำให้งานดำเนินไปได้อย่างมีประสิทธิภาพ แต่ในอีกด้านหนึ่งความรู้ความเข้าใจเหล่านี้หากไม่ได้อยู่ภายใต้ระบบควบคุมที่ดี วัฒนธรรมองค์กรที่เหมาะสม และกลไกตรวจสอบที่ทำงานได้จริง ก็อาจกลายเป็นช่องทางให้เกิดการใช้ประโยชน์จากช่องว่างของระบบได้เช่นกัน
นี่คือหัวใจของสิ่งที่เรียกว่า Insider Risk หรือความเสี่ยงจากผู้รู้ภายใน ซึ่งไม่ได้หมายถึงเฉพาะพนักงานภายในองค์กรเท่านั้น แต่อาจรวมถึงบุคคลหรือหน่วยงานที่เกี่ยวข้องกับระบบทั้งหมด ไม่ว่าจะเป็นคู่ค้า ตัวแทน ผู้ให้บริการภายนอก หรือผู้เชี่ยวชาญที่เข้าใจกระบวนการมากพอจะเห็นจุดอ่อนของระบบ
จากคดีที่สังคมรู้จัก สู่บทเรียนเรื่องความเสี่ยงเชิงระบบ
คดีทุจริตการขอคืนภาษีมูลค่าเพิ่ม หรือ VAT Refund Fraud ที่เคยเป็นข่าวใหญ่ในประเทศไทย เป็นกรณีศึกษาที่ควรถูกนำมาพิจารณาในเชิงระบบมากกว่าการมองเป็นเพียงข่าวคดีความ สิ่งที่น่าสนใจไม่ได้อยู่เพียงตัวเลขความเสียหาย แต่อยู่ที่รูปแบบของความเสี่ยงที่เกิดขึ้น
โดยหลักการแล้ว ระบบการขอคืนภาษีมูลค่าเพิ่มถูกออกแบบมาเพื่อรองรับสิทธิที่ชอบธรรมของผู้ประกอบการ เป็นกลไกปกติของระบบภาษีที่ช่วยให้ธุรกิจดำเนินไปได้อย่างเป็นธรรม ผู้ประกอบการที่มีภาษีซื้อสูงกว่าภาษีขายย่อมมีสิทธิขอคืนภาษีตามเงื่อนไขที่กฎหมายกำหนด ดังนั้น ระบบดังกล่าวไม่ได้เป็นปัญหาโดยตัวมันเอง
ปัญหาเกิดขึ้นเมื่อมีผู้เข้าใจกระบวนการ เงื่อนไข เอกสาร และจุดตรวจสอบของระบบอย่างละเอียด แล้วนำความรู้นั้นไปใช้สร้างธุรกรรมหรือโครงสร้างที่ดูเหมือนถูกต้องในเชิงรูปแบบ แต่มีปัญหาในเชิงสาระสำคัญ กรณีลักษณะนี้จึงสะท้อนให้เห็นว่า ความเสี่ยงที่แท้จริงอาจไม่ได้เกิดจากการขาดกฎเกณฑ์เพียงอย่างเดียว แต่อาจเกิดจากระบบที่ยังตรวจจับความผิดปกติได้ไม่เร็วพอ หรือยังไม่สามารถเชื่อมโยงข้อมูลเพื่อเห็นรูปแบบของความเสี่ยงได้อย่างรอบด้าน
คำถามสำคัญในเชิงบริหารความเสี่ยงจึงไม่ใช่เพียงว่า “ใครเป็นผู้กระทำผิด” แต่ควรถามต่อว่า “ระบบเปิดโอกาสให้ความเสี่ยงเช่นนี้สะสมอยู่ได้นานเพียงใด” และ “เหตุใดสัญญาณผิดปกติจึงไม่ถูกตรวจพบตั้งแต่ระยะเริ่มต้น”
ธุรกิจประกันภัยกับการใช้ช่องว่างของระบบ
ในธุรกิจประกันภัย แนวคิดเรื่องการใช้ช่องว่างของระบบไม่ใช่เรื่องใหม่ บริษัทประกันภัยต้องบริหารกรมธรรม์จำนวนมาก รับเบี้ยประกัน ตั้งเงินสำรอง ประเมินความเสี่ยง และจ่ายค่าสินไหมทดแทนอย่างต่อเนื่อง กระบวนการเหล่านี้มีรายละเอียดจำนวนมาก และรายละเอียดเหล่านี้เองคือพื้นที่ที่ความเสี่ยงอาจซ่อนอยู่ได้
ตัวอย่างเช่น การให้ข้อมูลสุขภาพไม่ครบถ้วน การเรียกร้องค่าสินไหมที่มีเอกสารสนับสนุนไม่เพียงพอ การประเมินความเสียหายสูงเกินจริง หรือการสมรู้ร่วมคิดระหว่างผู้เกี่ยวข้องในกระบวนการ สิ่งเหล่านี้มักไม่ได้เกิดจากผู้ที่ไม่เข้าใจระบบ แต่เกิดจากผู้ที่รู้ว่าระบบตรวจสอบเอกสารอะไร จุดใดมีการสุ่มตรวจ และจุดใดที่ยังพึ่งพาความไว้วางใจมากกว่าข้อมูลจริง
นี่คือเหตุผลที่ธุรกิจประกันภัยให้ความสำคัญกับ Fraud Risk หรือความเสี่ยงจากการฉ้อฉลเป็นอย่างมาก เพราะความเสียหายไม่ได้เกิดขึ้นเฉพาะเมื่อมีเหตุการณ์ใหญ่เพียงครั้งเดียว แต่อาจเกิดจากความผิดปกติเล็ก ๆ ที่สะสมซ้ำ ๆ จนกลายเป็นความเสียหายอย่างมหาศาล
ในมุมของนักคณิตศาสตร์ประกันภัย การบริหารความเสี่ยงไม่ได้หยุดอยู่ที่การคำนวณเบี้ยประกันหรือเงินสำรองเท่านั้น แต่รวมถึงการตีความพฤติกรรมของข้อมูลเพื่อค้นหาสัญญาณผิดปกติที่อาจนำไปสู่ความเสียหายในอนาคต เช่น รูปแบบการพัฒนาของค่าสินไหมทดแทน หรือ Loss Development Pattern ที่เบี่ยงเบนไปจากอดีต อัตราการเกิดเคลมที่สูงผิดปกติในบางกลุ่ม ความรุนแรงของความเสียหายที่เพิ่มขึ้นโดยไม่มีเหตุผลรองรับ หรือการกระจุกตัวของธุรกรรมจากคู่ค้าหรือช่องทางใดช่องทางหนึ่ง สิ่งเหล่านี้คือ Red Flag ที่อาจไม่ปรากฏชัดจากการตรวจเอกสารรายรายการ แต่จะเริ่มเห็นได้เมื่อวิเคราะห์ข้อมูลในภาพรวมอย่างเป็นระบบ ดังนั้น ตัวเลขในมุมของนักคณิตศาสตร์ประกันภัยจึงไม่ใช่เพียงผลลัพธ์ทางบัญชี แต่เป็นเครื่องมือสำคัญในการอ่านสัญญาณเตือนของความเสี่ยง ก่อนที่ความผิดปกติจะสะสมจนกลายเป็นความเสียหายขนาดใหญ่
ระบบควบคุมที่ดี ต้องทำงานได้จริง
หนึ่งในกรอบคิดที่องค์กรทั่วโลกใช้ในการบริหารความเสี่ยงคือ Three Lines Model หรือแนวป้องกันสามชั้น แนวคิดนี้ไม่ได้มีไว้เพื่อสร้างแผนผังองค์กรให้ดูครบถ้วน แต่มีไว้เพื่อกำหนดบทบาทและความรับผิดชอบให้ชัดเจน
แนวป้องกันชั้นแรกคือหน่วยงานปฏิบัติการ ซึ่งเป็นผู้ทำงานใกล้ชิดกับข้อมูลและกระบวนการมากที่สุด คนกลุ่มนี้ควรเป็นด่านแรกในการมองเห็นความผิดปกติ ไม่ใช่เพียงผู้ทำตามขั้นตอนเท่านั้น แนวป้องกันชั้นที่สองคือหน่วยงานบริหารความเสี่ยงและกำกับดูแลการปฏิบัติตามกฎเกณฑ์ มีหน้าที่วางมาตรฐาน ติดตาม และประเมินว่ากระบวนการที่ใช้อยู่ยังเหมาะสมกับความเสี่ยงในปัจจุบันหรือไม่ ส่วนแนวป้องกันชั้นที่สามคือการตรวจสอบภายใน ซึ่งต้องมีความเป็นอิสระเพียงพอที่จะประเมินว่าระบบควบคุมทั้งหมดทำงานได้จริงหรือไม่
อย่างไรก็ตาม โครงสร้างเหล่านี้จะไม่มีความหมายหากมีอยู่เพียงบนกระดาษ ระบบควบคุมที่ดีต้องประกอบด้วยข้อมูลที่มีคุณภาพ การวิเคราะห์ที่ทันเวลา และวัฒนธรรมองค์กรที่สนับสนุนให้คนกล้ารายงานความผิดปกติ โดยไม่ต้องกังวลว่าการตั้งคำถามจะกลายเป็นความเสี่ยงต่อตนเอง
ในยุคดิจิทัลองค์กรจำเป็นต้องใช้ Data Analytics, Automated Controls และ AI-driven Monitoring เพื่อช่วยตรวจจับรูปแบบผิดปกติที่มนุษย์อาจมองไม่เห็น เช่น ธุรกรรมที่เกิดซ้ำผิดปกติ ความสัมพันธ์ของคู่ค้าที่ซับซ้อน หรือพฤติกรรมการอนุมัติที่เบี่ยงเบนจากมาตรฐานเดิม แต่เทคโนโลยีเพียงอย่างเดียวไม่ใช่คำตอบ หากองค์กรไม่มีผู้รับผิดชอบในการตีความข้อมูลและตัดสินใจอย่างเหมาะสม
อีกประเด็นที่ไม่ควรมองข้ามคือระบบแรงจูงใจ หากองค์กรให้รางวัลกับยอดขาย ความเร็ว หรือผลลัพธ์ระยะสั้นมากเกินไป โดยไม่คำนึงถึงคุณภาพและความเสี่ยงระยะยาว ระบบอาจผลักดันให้คนตัดสินใจผิดทิศทางโดยไม่รู้ตัว ความเสี่ยงจากผู้รู้ภายในจึงไม่ได้เกิดจากเจตนาทุจริตเสมอไป แต่อาจเริ่มจากแรงจูงใจที่ออกแบบไม่สมดุล
ท้ายที่สุดบทเรียนสำคัญของการบริหารความเสี่ยงคือ เราไม่ควรออกแบบระบบบนสมมติฐานว่า “ทุกคนจะทำถูกต้องเสมอ” แต่ควรออกแบบระบบบนสมมติฐานที่สมจริงกว่า คือ “เมื่อมีความผิดพลาด หรือเมื่อมีผู้พยายามใช้ช่องว่างของระบบ ระบบจะต้องตรวจพบได้เร็ว จำกัดความเสียหายได้ และเรียนรู้เพื่อไม่ให้เกิดซ้ำ” ความไว้วางใจเป็นสิ่งจำเป็นในการทำงานร่วมกัน แต่ความไว้วางใจที่ไม่มีระบบตรวจสอบรองรับ อาจกลายเป็นความเปราะบางขององค์กรได้ในที่สุด เพราะในโลกของการบริหารความเสี่ยง คนที่เข้าใจระบบดีที่สุดอาจเป็นทรัพยากรที่มีค่าที่สุดขององค์กร
แต่หากระบบควบคุมอ่อนแอ คนกลุ่มเดียวกันนี้ก็อาจกลายเป็นจุดเริ่มต้นของความเสี่ยงที่อันตรายที่สุดได้เช่นกัน