- 19
- กุมภาพันธ์
อีกหนึ่งปัญหาคลาสสิกที่ทุกองค์กรเจอเมื่อเริ่มใช้ระบบ ERP — ผู้บริหารไม่ยอมกดอนุมัติเอง โยนภาระให้เลขาลงนามแทน เพราะ "ติดการเซ็นเอกสาร" มากกว่าการใช้ระบบ ฟังดูเหมือนเรื่องเล็ก แต่ผลกระทบที่ตามมานั้นใหญ่กว่าที่คิด
ทำไมผู้บริหารถึงไม่ยอมกดอนุมัติเอง?
ก่อนจะแก้ปัญหา เราต้องเข้าใจสาเหตุก่อน:
- ติดวัฒนธรรม "ลายเซ็น" — ผู้บริหารรุ่นเก่าหลายคนเติบโตมากับการเซ็นกระดาษ การ "กดปุ่ม" ในระบบรู้สึกไม่เหมือนการ "ลงนาม" จริง
- ไม่คุ้นเทคโนโลยี — จอหน้าตาเล็ก ปุ่มเยอะ กลัวกดผิด กลัวอนุมัติผิดรายการ
- ไม่มีเวลา — ผู้บริหารมีงานเยอะ ประชุมทั้งวัน ไม่มีเวลานั่งเปิดระบบทีละรายการ
- "มีเลขาทำไม?" — คิดว่าเลขาคือคนที่ควรจัดการงานเอกสารทั้งหมด รวมถึงการอนุมัติด้วย
- เคยทำแบบนี้มาตลอด — สมัยก่อนเลขาก็เป็นคนเอาเอกสารมาให้เซ็น เปลี่ยนเป็นระบบก็ให้เลขากดแทนเหมือนกัน
สถานการณ์จำลอง: เลขา 1 คน ดูแลผู้บริหาร 3 คน
ลองจินตนาการสถานการณ์ที่เกิดขึ้นจริงในหลายองค์กร:
สถานการณ์จำลอง
คุณสมศรี เป็นเลขาผู้บริหารที่ดูแลผู้บริหาร 3 คน:
- คุณ A — รองกรรมการผู้จัดการ (อนุมัติวงเงินไม่เกิน 5 ล้านบาท)
- คุณ B — ผู้อำนวยการฝ่ายจัดซื้อ (อนุมัติ PO ทุกรายการ)
- คุณ C — ผู้อำนวยการฝ่ายการเงิน (อนุมัติการจ่ายเงิน)
ทั้ง 3 คน ไม่กดอนุมัติเอง — ให้คุณสมศรีรู้ Password ทั้ง 3 บัญชี แล้วเข้าไปกดอนุมัติแทนทุกรายการ
ปัญหาที่ตามมา — ใหญ่กว่าที่คิด
1. Internal Control ล่มสลาย
หลักการสำคัญของ Internal Control คือ Segregation of Duties (SOD) — การแบ่งแยกหน้าที่ เพื่อไม่ให้คนคนเดียวทำรายการและอนุมัติรายการเดียวกัน
เมื่อเลขาเป็นคนกดอนุมัติแทนผู้บริหาร 3 คน หมายความว่า:
- คุณสมศรี เข้าถึงระบบด้วยสิทธิ์ระดับผู้บริหาร 3 คน พร้อมกัน
- ถ้าคุณสมศรี สร้าง PR → อนุมัติ PO (ในนามคุณ B) → อนุมัติจ่ายเงิน (ในนามคุณ C) ก็ทำได้ทั้ง flow โดยไม่มีใครตรวจสอบ
- SOD ที่ออกแบบมาอย่างดี กลายเป็นศูนย์
2. Audit Trail ไม่สามารถเชื่อถือได้
ระบบ ERP บันทึกว่า "คุณ A อนุมัติเมื่อ 10:30 น." แต่ความจริงคือ คุณสมศรีเป็นคนกด — Audit Trail ทั้งหมดจึงเป็นเท็จ
ถ้าเกิดปัญหา เช่น อนุมัติจ่ายเงินผิดรายการ หรือมีการทุจริต:
- ระบบจะชี้ไปที่ผู้บริหาร — แต่ผู้บริหารบอกว่า "ผมไม่ได้กด"
- เลขาบอกว่า "ท่านสั่งให้กด"
- ไม่มีใครรับผิดชอบ — เพราะไม่มีหลักฐานว่าใครสั่งจริง
3. ความเสี่ยงด้านการทุจริต
คนคนเดียวที่มี Password ของผู้บริหาร 3 คน สามารถ:
| สิ่งที่ทำได้ | ใช้สิทธิ์ของ | ผลกระทบ |
|---|---|---|
| สร้างใบสั่งซื้อ (PO) ปลอม | คุณ B | สั่งซื้อของจาก vendor ที่ตัวเองเกี่ยวข้อง |
| อนุมัติจ่ายเงินให้ vendor ปลอม | คุณ C | เงินออกจากองค์กรโดยไม่มีของจริง |
| อนุมัติวงเงินสูง | คุณ A | ผ่านรายการที่ปกติต้องผ่าน Board |
| แก้ไขข้อมูล master data | ทั้ง 3 คน | เปลี่ยนเลขบัญชีธนาคารของ vendor |
นี่ไม่ใช่เรื่องสมมติ — กรณีทุจริตในองค์กรใหญ่หลายกรณี เกิดจากการแชร์ Password ของผู้บริหาร ให้คนอื่นใช้
4. ปัญหาด้านกฎหมายและ Compliance
- พ.ร.บ. คอมพิวเตอร์ พ.ศ. 2560 — การเข้าถึงระบบด้วยบัญชีผู้อื่นถือเป็นการเข้าถึงโดยไม่ได้รับอนุญาต แม้เจ้าของบัญชีจะบอกให้ทำก็ตาม
- มาตรฐานบัญชี — ผู้สอบบัญชี (Auditor) จะตั้งคำถามเรื่อง IT General Controls ถ้าพบว่ามีการแชร์ Password
- ISO 27001 — ข้อ 9.2 กำหนดว่าต้องมี Individual User Account ห้ามแชร์ Credentials
5. เลขาแบกความเสี่ยงทั้งหมด
มุมที่คนมักมองข้าม — เลขาคือคนที่ เสี่ยงที่สุด ในสถานการณ์นี้:
- ถ้าเกิดปัญหา ระบบจะบันทึกว่าผู้บริหารเป็นคนทำ — แต่ผู้บริหารจะปฏิเสธ
- เลขาไม่มี "คำสั่ง" เป็นลายลักษณ์อักษร — ถูกสั่งด้วยวาจา
- ถ้ามีการทุจริตโดยบุคคลอื่น แต่ใช้เวลาที่เลขาเข้าระบบ — เลขาจะเป็นผู้ต้องสงสัยอันดับแรก
- แบกภาระงาน 3 เท่า — ต้องจำ password 3 ชุด ต้องเข้าระบบ 3 รอบ ต้องตรวจสอบเอกสาร 3 คิว
วิเคราะห์ภาระงานจริง: เลขา 1 คน ดูแล 3 คน
ลองคิดเล่นๆ ว่าถ้าเลขา 1 คน ต้องกดอนุมัติแทนผู้บริหาร 3 คน จะเกิดอะไรขึ้น:
| งาน | คุณ A | คุณ B | คุณ C | รวม/วัน |
|---|---|---|---|---|
| อนุมัติ PR/PO | 5 | 15 | — | 20 |
| อนุมัติจ่ายเงิน | 3 | — | 20 | 23 |
| อนุมัติใบลา/OT | 10 | 8 | 5 | 23 |
| อนุมัติเอกสารอื่น | 5 | 5 | 5 | 15 |
| รวมต่อวัน | 23 | 28 | 30 | 81 รายการ |
81 รายการต่อวัน — เลขาต้อง login-logout สลับ 3 บัญชี ตรวจสอบเอกสารก่อนกด ตอบคำถามจากหน่วยงานที่รอ approval ทั้ง 3 สาย
ผลกระทบที่ซ่อนอยู่
- คุณ B ติดประชุม → เอกสาร 28 รายการต้องรอ → ทั้ง flow จัดซื้อหยุดชะงัก
- คุณสมศรีลาป่วย 1 วัน → ผู้บริหาร 3 คนอนุมัติอะไรไม่ได้เลย เพราะไม่รู้ password ตัวเอง
- คุณสมศรีกดอนุมัติรายการของคุณ C ผิด → ใครรับผิดชอบ? คุณ C หรือคุณสมศรี?
- ผู้ตรวจสอบพบว่ารายการถูกอนุมัติเวลา 08:30 น. แต่คุณ A ยังไม่มาถึงออฟฟิศ → Red Flag
วิธีแก้ปัญหา — ทำอย่างไรให้ผู้บริหารกดเอง
1. ทำให้การอนุมัติง่ายที่สุด
ปัญหาหลักคือ "ยาก" และ "ไม่สะดวก" — แก้ที่ต้นเหตุ:
- Mobile Approval — อนุมัติผ่านมือถือได้ ไม่ต้องนั่งหน้าจอคอมพิวเตอร์ ระหว่างรอประชุมก็กดได้
- LINE / Email Notification — ระบบแจ้งเตือนเมื่อมีรายการรออนุมัติ พร้อมลิงก์กดอนุมัติตรง (การแจ้งเตือนผ่าน LINE มีค่าใช้จ่ายเพิ่มเติม)
- Dashboard สรุป — หน้าจอรวมรายการรออนุมัติทั้งหมด เห็นภาพรวมทันที กดอนุมัติได้จากหน้าเดียว
2. แต่งตั้งรักษาการอย่างเป็นทางการ
ถ้าผู้บริหารไม่ว่าง "จริงๆ" ระบบ ERP ที่ดีควรมี:
- รักษาการ (Acting Authority) — แต่งตั้งผู้รักษาการแทนผ่านระบบ กรณีที่ผู้อนุมัติไม่อยู่ เอกสารจะถูกส่งไปให้ผู้รักษาการอนุมัติแทนโดยอัตโนมัติ มีบันทึกว่าใครแต่งตั้งใคร ตั้งแต่เมื่อไหร่ถึงเมื่อไหร่
- Escalation Rule — ถ้ารายการรอเกิน X ชั่วโมง ส่งต่อไปให้ผู้บริหารระดับถัดไปอัตโนมัติ
- Auto-Approval — รายการมูลค่าต่ำกว่าเกณฑ์ที่กำหนด อนุมัติอัตโนมัติโดยไม่ต้องผ่านผู้บริหาร
3. ออกนโยบาย "ห้ามแชร์ Password" อย่างชัดเจน
องค์กรต้องมีนโยบาย IT Security ที่ระบุชัดเจน:
- Password เป็นความลับส่วนบุคคล — ห้ามแชร์กับผู้อื่นไม่ว่ากรณีใดๆ
- เจ้าของบัญชีรับผิดชอบทุกรายการ — ที่เกิดขึ้นภายใต้บัญชีของตน
- บทลงโทษ — สำหรับทั้งผู้ให้และผู้ใช้ password ของคนอื่น
- ใช้ 2FA — เพิ่มการยืนยันตัวตนสองชั้น ทำให้การให้คนอื่นกดแทนทำได้ยากขึ้น
4. เปลี่ยน Mindset ผู้บริหาร
วิธีที่ได้ผลที่สุดคือทำให้ผู้บริหาร "เข้าใจ" ว่าทำไมต้องกดเอง:
- อธิบายด้วยความเสี่ยง — "ถ้าเลขาทุจริต ระบบจะชี้มาที่ท่าน เพราะใช้บัญชีของท่าน"
- อธิบายด้วยกฎหมาย — "ถ้ามี Audit finding ว่ามีการแชร์ password จะส่งผลต่อรายงานผู้สอบบัญชี"
- อธิบายด้วยภาพลักษณ์ — "ผู้บริหารที่ใช้ระบบเป็น คือผู้บริหารที่ทันสมัย"
- ให้ CEO เป็นตัวอย่าง — ถ้า CEO กดเอง คนอื่นจะทำตาม
Saeree ERP รองรับการอนุมัติอย่างไร
| ฟีเจอร์ | รายละเอียด |
|---|---|
| Multi-Level Approval | กำหนดลำดับการอนุมัติตามวงเงินและประเภทเอกสาร |
| Mobile Approval | อนุมัติผ่าน Smartphone ได้ทุกที่ทุกเวลา |
| Notification | แจ้งเตือนผ่าน Email / LINE เมื่อมีรายการรออนุมัติ (LINE มีค่าใช้จ่ายเพิ่มเติม) |
| รักษาการ (Acting Authority) | แต่งตั้งผู้รักษาการแทน เอกสารส่งไปให้ผู้รักษาการอนุมัติโดยอัตโนมัติ มี Audit Trail |
| Escalation | รายการค้างเกินเวลา ส่งต่อผู้อนุมัติสำรองอัตโนมัติ |
| 2FA Authentication | ยืนยันตัวตนสองชั้น ป้องกันการใช้บัญชีผู้อื่น |
| Audit Trail | บันทึกทุกรายการ — ใคร ทำอะไร เมื่อไหร่ จาก IP ไหน |
ทำไม Saeree ERP ไม่มี Batch Approval?
หลายระบบมีฟีเจอร์ "Batch Approval" — เลือกหลายรายการแล้วกดอนุมัติทีเดียว ฟังดูสะดวก แต่ในทางปฏิบัติกลับ ก่อปัญหาใหม่ที่ร้ายแรงกว่า:
- ผู้อนุมัติ ไม่ได้ตรวจสอบเอกสารทีละรายการ — กดอนุมัติทั้ง Batch โดยไม่ได้อ่าน
- เอกสารที่มีปัญหาหรือผิดปกติ หลุดรอดไปกับรายการปกติ
- Audit Trail บันทึกว่า "อนุมัติแล้ว" แต่จริงๆ ผู้อนุมัติ ไม่เคยเห็นเนื้อหาเลย
- Internal Control เสียหายเหมือนกัน — แค่เปลี่ยนจาก "ให้เลขากดแทน" เป็น "กดเองแต่ไม่ได้ดู"
Saeree ERP จึงออกแบบให้ ทุกรายการต้องถูกเปิดดูก่อนอนุมัติ — แต่ทำให้กระบวนการเปิดดูและกดอนุมัติง่ายและเร็วที่สุด ผ่านมือถือ ภายใน 3 วินาทีต่อรายการ
สรุป: "ให้เลขากดแทน" ≠ "แต่งตั้งรักษาการ"
สิ่งที่ผู้บริหารหลายคนเข้าใจผิดคือ — คิดว่าการให้เลขากดอนุมัติแทนก็เหมือนกับการแต่งตั้งรักษาการ แต่ในความเป็นจริง:
| ให้เลขากดแทน (แชร์ Password) | แต่งตั้งรักษาการผ่านระบบ | |
|---|---|---|
| Audit Trail | บันทึกว่าผู้บริหารทำ (เท็จ) | บันทึกว่าผู้รักษาการทำ แทนผู้บริหาร (จริง) |
| ความรับผิดชอบ | ไม่ชัดเจน — ใครรับผิด? | ชัดเจน — มีบันทึกการแต่งตั้งรักษาการ |
| ขอบเขต | เลขาทำได้ทุกอย่างเท่ากับผู้บริหาร | จำกัดได้ — เฉพาะเอกสารประเภทไหน วงเงินเท่าไหร่ |
| ระยะเวลา | ไม่มีกำหนด — เลขารู้ password ตลอด | กำหนดได้ — วันที่เริ่มต้นและสิ้นสุด |
| Compliance | ผิดทุกมาตรฐาน | ผ่าน Audit ได้ |
ถ้าองค์กรของคุณกำลังเจอปัญหานี้ — อย่าปล่อยให้กลายเป็น "เรื่องปกติ" เพราะวันที่มีปัญหาจริง จะไม่มีใครรับผิดชอบ และระบบที่ลงทุนมาจะไม่สามารถปกป้ององค์กรได้
Saeree ERP — ออกแบบให้ผู้บริหารกดง่าย
Saeree ERP ถูกออกแบบมาให้การอนุมัติง่ายที่สุด — กดอนุมัติผ่านมือถือได้ภายใน 3 วินาที มี LINE แจ้งเตือน (มีค่าใช้จ่ายเพิ่มเติม) มีระบบแต่งตั้งรักษาการสำหรับกรณีที่ผู้อนุมัติไม่อยู่ เอกสารจะถูกส่งไปให้ผู้รักษาการอนุมัติแทนโดยอัตโนมัติ และมี Escalation Rule ส่งต่อรายการอัตโนมัติ ทุกอย่างมี Audit Trail ครบถ้วน ผ่าน Compliance ได้ทุกมาตรฐาน โดยเจตนา ไม่มี Batch Approval เพราะทุกรายการต้องถูกตรวจสอบก่อนอนุมัติ
