901 คำ
5 นาที
CIA Series ตอนที่ 01 : P1 - Storyboard: กำเนิดกองผู้ตรวจการ
สารบัญ

ลองนึกภาพเถ้าแก่คนหนึ่งครับ เริ่มจากร้านเดียว ยืนเก็บเงินหน้าร้านเอง รู้จักลูกน้องทุกคนด้วยชื่อเล่น ของเข้าของออกเห็นกับตา เงินในลิ้นชักตรงกับในหัวเป๊ะทุกคืน ปีถัดมาเปิดสาขาสอง สาขาสาม แล้วก็สิบ ยี่สิบ สามสิบ วันดีคืนดีนั่งดูรายงานยอดขายรวมทุกสาขา ตัวเลขสวยมาก กราฟชี้ขึ้นทุกเดือน แต่กลางดึกกลับนอนไม่หลับ

เพราะมีเสียงเล็กๆ ในหัวคอยถามว่า “รายงานที่สวยนี่ มันจริงแค่ไหนกันนะ” ของในสต็อกที่บอกว่ามี มันมีจริงไหม เงินสดที่แต่ละสาขาแจ้งเข้ามา มันเข้าครบไหม พนักงานที่ไว้ใจ เขายังไว้ใจได้อยู่หรือเปล่า ปัญหาคือกิจการมันโตเกินกว่าจะเดินไปดูเองทุกสาขาแล้ว ตาคู่เดียวของเถ้าแก่มันมองไม่ทั่วอีกต่อไป

นี่แหละคือจุดที่ “กองผู้ตรวจการ” ถือกำเนิดขึ้นมา เป็นทีมที่เถ้าแก่ตั้งขึ้นมาให้เป็นตาแทนตัวเอง เดินดูแทน ตรวจแทน แล้วกลับมารายงานตรงๆ ว่าข้างในมันเป็นยังไงจริง ในภาษาอาชีพเขาเรียกมันว่า internal audit function (หน่วยงานตรวจสอบภายใน) จุดนี้ผมจดไว้เลยว่าเราเรียก “function” ไม่ใช่ “activity” นะ เป็นศัพท์ชุดใหม่ที่จะเจอตลอดซีรีส์ ส่วนซีรีส์นี้ทั้ง Part 1 ก็คือการเดินเรื่องกำเนิดของกองนี้ ตั้งแต่ตราตั้งวันแรก ไปจนถึงวันที่มันออกไปล่าคนโกงเป็น

ในตอนเปิดซีรีส์เราคุยกันว่า CIA คืออะไร ต่างจาก CISA ที่ผมสอบผ่านมาแล้วยังไง แล้วก็กางแผนคร่าวๆ ว่าทั้งซีรีส์แบ่งเป็น 3 Parts — Part 1 ว่าด้วยรากฐานอาชีพ Part 2 ลงสนามทำงานจริง Part 3 มองจากเก้าอี้หัวหน้ากอง ตอนนี้เราเริ่ม Part 1 กันจริงๆ แล้ว เริ่มจากคำถามพื้นที่สุด — ทำไมองค์กรถึงต้องมีกองผู้ตรวจการตั้งแต่แรก

โครงของ storyboard ตอนนี้#

  • ทำไมเถ้าแก่ถึง ต้อง มีกองผู้ตรวจการ — และทำไมมันต้องเป็น “ตา” ที่เชื่อถือได้ ไม่ใช่แค่ลูกน้องอีกคน
  • แผนที่ทั้ง Part 1: ห้าด่านที่เราจะเดินผ่าน — ตราตั้ง → ความเป็นอิสระ → ภาษา risk/control → ประเภทงาน → ศึก fraud
  • แผนที่มาตรฐาน: the Standards (GIAS) คืออะไร ทำไมเรียกว่า “กฎหมายหลักของอาชีพ” และมันต่างจาก COSO/ISO ยังไง
  • เส้นแบ่งคำเดียวที่ข้อสอบชอบเอามาดัก: must กับ should
  • กับดักภาพใหญ่ที่ต้องระวังตั้งแต่ก้าวแรก

ด่านแรก: ตราตั้ง — เขียนให้ชัดว่ากองนี้มีสิทธิ์ทำอะไร#

เถ้าแก่จะตั้งกองผู้ตรวจการเฉยๆ ด้วยปากไม่ได้ครับ ลองคิดดูนะ พอผู้ตรวจเดินเข้าไปขอดูบัญชีสาขา ผู้จัดการสาขาก็ย้อนกลับมาทันทีว่า “คุณเป็นใคร มีสิทธิ์อะไรมาดูของผม” ถ้าไม่มีเอกสารตราตั้งที่ชัดเจน ผู้ตรวจก็จบเห่ตั้งแต่หน้าประตูนั่นแหละ

ของสองอย่างนี้คือหัวใจของด่านแรก อย่างแรกคือ internal audit mandate พูดง่ายๆ ก็คือ “ขอบเขตอำนาจ” ที่ระบุว่ากองนี้มีอำนาจอะไร มีบทบาทอะไร รับผิดชอบแค่ไหน แล้วใครเป็นคนให้อำนาจนี้ คำตอบคือ board (สภา/คณะกรรมการ ในความหมายกว้าง จะเป็นคณะกรรมการบริษัท คณะกรรมการตรวจสอบ หรือคณะผู้ก่อตั้งก็ได้) เขาเป็นคนอนุมัติและหนุนหลัง mandate นี้ ไม่ใช่ฝ่ายบริหารที่ผู้ตรวจต้องเดินไปตรวจเขานั่นแหละ

อย่างที่สองคือ charter (กฎบัตร) เป็นเอกสารทางการที่เอา mandate มาเขียนลงไปให้จับต้องได้ ระบุวัตถุประสงค์ อำนาจ ความรับผิดชอบ และตำแหน่งของกองในองค์กร แล้วก็ต้องผ่านการอนุมัติจาก board เอกสารตัวนี้แหละครับที่ผู้ตรวจกางออกมาตอบผู้จัดการสาขาได้ว่า “ผมมีสิทธิ์เข้าดูทุกอย่างที่นี่ เพราะสภาเซ็นให้แล้ว”

ส่วนคนที่เดินเรื่องนี้กับ board คือ CAE (chief audit executive หรือหัวหน้ากอง) เขาเป็นคนเอาข้อมูลไปให้ board กับ senior management ตัดสินใจว่าจะให้กองทำอะไรบ้าง แค่ไหน แล้วก็ต้องคอยกลับมาทบทวนเป็นระยะด้วย ถ้าองค์กรเปลี่ยน ควบรวมกิจการ เปลี่ยนกลยุทธ์ มีกฎหมายใหม่ CAE ก็ต้องชวน board มาคุยกันว่าตราตั้งเดิมยังใช้ได้อยู่ไหม

  • มุมเถ้าแก่/สภา: ถ้าไม่เขียน charter ให้ชัด ผู้ตรวจก็เข้าไม่ถึงของ ตรวจไม่ได้จริง เท่ากับจ่ายเงินเลี้ยงกองที่ทำงานไม่ออก เจ็บกระเป๋าเปล่าๆ
  • มุมผู้ตรวจ (คนสอบ): พอข้อสอบถามว่า “ใครอนุมัติ charter / mandate” คำตอบคือ board เสมอ ไม่ใช่ CFO ไม่ใช่ CEO ไม่ใช่ CAE เอง — ตรงนี้เดี๋ยวตอน /posts/cia-p1-02-purpose-mandate-charter/ จะกางรายละเอียดว่าใน charter ต้องมีอะไรบ้าง

⚠️ กับดัก: ข้อสอบชอบสลับตัวคนอนุมัติ เอา senior management หรือ CAE มาวางเป็น “ผู้อนุมัติ charter” ให้ดูสมเหตุสมผล ทั้งที่ตัวจริงคือ board — คนอื่นแค่ร่วมคุย ไม่ใช่คนเคาะ

ด่านสอง: ความเป็นอิสระ — ทำไมตาต้องไม่ขึ้นกับคนที่ถูกตรวจ#

ลองคิดดูนะ ถ้าเถ้าแก่ตั้งผู้ตรวจขึ้นมาแล้ว แต่ให้ไปขึ้นตรงกับผู้จัดการสาขาที่ตัวเองต้องตรวจ จะเกิดอะไรขึ้น ผู้ตรวจเจอของหายในสาขานั้น อยากรายงานตามจริง แต่คนที่ให้เงินเดือนเขา ให้โบนัสเขา ดันเป็นคนที่เขากำลังจะเขียนถึงในทางไม่ดีซะเอง มือมันก็สั่นสิครับ สุดท้ายรายงานก็ออกมาอ่อนกว่าความจริง

หัวใจของด่านนี้มีสองคำที่ต้องแยกให้ขาด อย่างแรก independence (ความเป็นอิสระ) เป็นเรื่องของ ตำแหน่งของกอง ในองค์กร ว่าวางไว้ตรงไหนถึงจะไม่โดนคนที่ถูกตรวจกดดันได้ ส่วนอย่างที่สอง objectivity (ความเที่ยงธรรม) เป็นเรื่องของ ใจของตัวผู้ตรวจ คือไม่มีอคติ ไม่เอนเอียง ประเมินตรงๆ สองอย่างนี้คนละชั้นกันเลย แต่มันหนุนกัน กองที่วางตำแหน่งเป็นอิสระ ก็ช่วยให้คนในกองรักษาความเที่ยงธรรมได้ง่ายขึ้น

ทางแก้คลาสสิคคือให้ CAE รายงานตรงต่อ board (functional reporting) ไม่ใช่ไปขึ้นกับฝ่ายที่ตัวเองตรวจ แล้วพอความเป็นอิสระถูกกระทบ เช่นถูกจำกัดงบจนตรวจไม่ทั่ว หรือถูกกันไม่ให้เข้าถึงข้อมูลบางส่วน (scope limitation) CAE ก็มีหน้าที่ต้องบอก board ทันที ไม่ใช่เก็บเงียบ

  • มุมเถ้าแก่/สภา: ตาที่กลัวคนที่ตัวเองต้องมอง ก็ไม่ต่างจากไม่มีตา จ่ายไปก็ได้รายงานปลอบใจ ไม่ได้ความจริง
  • มุมผู้ตรวจ (คนสอบ): เจอคำว่า “impair / reporting line / scope limitation / budget” ให้เอะใจว่านี่คือโจทย์ความเป็นอิสระ — เดี๋ยวตอน /posts/cia-p1-03-independence-impairment/ จะลงลึกทีละสถานการณ์

⚠️ กับดัก: ข้อสอบชอบเอา independence กับ objectivity มาสลับนิยามกัน เขียนว่า “ความเป็นอิสระคือทัศนคติที่ปราศจากอคติของผู้ตรวจ” ให้ดูถูก ทั้งที่นั่นคือนิยามของ objectivity — จำแกน: independence = ตำแหน่งของกอง, objectivity = ใจของคน

ด่านสาม: ภาษา risk กับ control — ศัพท์กลางที่ทุกคนต้องพูดเหมือนกัน#

พอกองตั้งขึ้นและอิสระแล้ว ปัญหาต่อมาคือ “จะตรวจอะไรก่อน” เถ้าแก่มีสาขาสามสิบแห่ง ผู้ตรวจมีไม่กี่คน จะไล่ตรวจทุกอย่างเท่ากันหมดก็ไม่ไหวหรอกครับ ต้องเลือกตรวจจุดที่ เสี่ยง ที่สุดก่อน คำว่าเสี่ยงนี่แหละคือหัวใจ ในภาษาอาชีพเขาเลยต้องนิยาม risk (ความเสี่ยง) กับ control (การควบคุม) ให้ทุกคนเข้าใจตรงกันก่อน แล้วถึงจะคุยเรื่องอื่นต่อได้

เอาแบบบ้านๆ ก่อนครับ risk คือ “โอกาสที่เรื่องไม่ดีจะเกิดแล้วกระทบเป้าหมาย” เช่นโอกาสที่เงินสดจะหาย ส่วน control คือ “สิ่งที่เราวางไว้กันไม่ให้เรื่องนั้นเกิด หรือจับได้ถ้ามันเกิด” เช่นให้คนเก็บเงินกับคนลงบัญชีเป็นคนละคน จุดที่ต้องแยกให้ขาดคือ risk มันมีสองชั้น อย่างแรก inherent risk (ความเสี่ยงดิบ ก่อนวาง control) กับอย่างที่สอง residual risk (ความเสี่ยงที่ยังเหลืออยู่ หลังวาง control แล้ว) เถ้าแก่สนใจตัวหลังนี่แหละ เพราะมันคือสิ่งที่ยังทำให้นอนไม่หลับอยู่จริงๆ

control เองก็มีหลายพันธุ์ ที่ข้อสอบชอบให้แยกคือ preventive (กันไว้ก่อน เช่นล็อกประตูคลัง), detective (จับทีหลัง เช่นนับสต็อกเทียบบัญชี) และ corrective (แก้เมื่อเจอปัญหาแล้ว) พอมีภาษากลางชุดนี้ ทั้งเถ้าแก่ ทั้งผู้จัดการ ทั้งผู้ตรวจ ก็คุยกันรู้เรื่องว่าตรงไหนเสี่ยงเหลือเท่าไร ควรวางอะไรเพิ่ม

  • มุมเถ้าแก่/สภา: ถ้าไม่มีภาษา risk/control ร่วมกัน เวลาผู้ตรวจบอกว่า “สาขานี้เสี่ยง” เถ้าแก่ก็ไม่รู้ว่าเสี่ยงดิบหรือเสี่ยงที่เหลือ ตัดสินใจลงทุนแก้ผิดจุด
  • มุมผู้ตรวจ (คนสอบ): โจทย์ที่ให้ตัวเลขความเสี่ยง “ก่อน/หลังใส่ control” คือกำลังทดสอบ inherent กับ residual — อ่านให้ทันว่าเขาถามตัวไหน เดี๋ยว /posts/cia-p1-07-risk-language-coso-erm-iso31000/ กับ /posts/cia-p1-08-control-language-types/ จะลงลึกทั้ง risk และ control

⚠️ กับดัก: ข้อสอบชอบสลับ inherent กับ residual — ให้สถานการณ์ที่ “วาง control แล้ว” แต่ถามหาความเสี่ยง แล้ววางคำตอบ inherent ไว้ล่อ ทั้งที่คำตอบจริงคือ residual

ด่านสี่: ประเภทงาน — assurance กับ advisory ไม่เหมือนกัน#

พอมีภาษากลางแล้ว กองก็เริ่มออกงานได้ แต่งานของผู้ตรวจไม่ได้มีแบบเดียวนะครับ มันแบ่งเป็นสองสายใหญ่ที่ข้อสอบ Part 1 หวงมาก

สายแรกคือ assurance (การให้ความเชื่อมั่น) ผู้ตรวจเข้าไปดู แล้วให้ความเห็นอย่างเป็นกลางว่า “เรื่องนี้ในองค์กรมันดีจริงไหม” เช่นตรวจว่าการควบคุมเงินสดที่สาขารัดกุมพอไหม งานสายนี้มีตัวผู้ตรวจ ตัวเรื่องที่ถูกตรวจ (activity under review จุดนี้จดไว้ว่าเราเลี่ยงคำว่า “auditee” แบบเดิม) แล้วก็ตัวผู้ใช้ผล ครบสามฝ่าย ส่วนผลที่ออกมาเรียกว่า engagement conclusion (ข้อสรุปของงาน ไม่ใช่ “opinion” แบบงานสอบบัญชีนะ ระวังคำนี้ให้ดี)

สายสองคือ advisory (งานให้คำปรึกษา ศัพท์ชุดใหม่ใช้คำนี้ ไม่ใช่ “consulting”) อันนี้เจ้าของเรื่องมาขอความเห็นเอง เช่นผู้จัดการกำลังจะออกแบบระบบเบิกจ่ายใหม่ แล้วขอให้ผู้ตรวจช่วยดูว่าตรงไหนควรใส่ control ขอบเขตและเนื้องานก็ตกลงกับผู้ขอเป็นรายกรณีไป งานสายนี้มีแค่สองฝ่าย คือผู้ตรวจกับผู้ขอ ไม่มีฝ่ายที่สามมารับผล

  • มุมเถ้าแก่/สภา: เถ้าแก่ต้องรู้ว่ากำลังสั่งงานสายไหน ถ้าอยากได้คำรับรองที่เชื่อถือได้ไปโชว์ board ต้องเป็น assurance ถ้าอยากได้ไอเดียช่วยออกแบบ ต้องเป็น advisory — สั่งผิดสาย ได้ของไม่ตรงใช้
  • มุมผู้ตรวจ (คนสอบ): ดูจำนวนฝ่ายในโจทย์ สามฝ่าย = assurance, สองฝ่าย = advisory และระวังคำ conclusion กับ opinion อย่าสลับ — เดี๋ยว /posts/cia-p1-10-assurance-services-menu/ กับ /posts/cia-p1-12-advisory-services/ จะแยกสองสายนี้ให้ละเอียดพร้อมประเภทย่อย

⚠️ กับดัก: ข้อสอบชอบเรียกงาน assurance ว่าให้ “opinion” หรือเรียก advisory ว่า “consulting” — คำเก่าที่ยังคุ้นหูจากหนังสือรุ่นก่อน จำศัพท์ชุดใหม่ให้แน่น: conclusion กับ advisory

ด่านห้า: ศึก fraud — เมื่อของหายเพราะคนตั้งใจ#

ด่านสุดท้ายของ Part 1 คือเรื่องที่ทำให้เถ้าแก่นอนไม่หลับที่สุด นั่นคือ fraud (การทุจริต) ของหายเพราะเลินเล่อยังพอทำใจได้ แต่ของหายเพราะคนในตั้งใจโกง แล้วยังปกปิดร่องรอยด้วยเนี่ย มันคนละเรื่องกันเลย

หัวใจที่ข้อสอบออกซ้ำแล้วซ้ำอีกคือ fraud triangle สามมุมที่ทำให้คนธรรมดากลายเป็นคนโกง ได้แก่ motivation (แรงกดดัน เช่นหนี้ท่วม), opportunity (ช่องโหว่ เช่นคนเดียวคุมทั้งเงินทั้งบัญชี) และ rationalization (ข้ออ้างให้ตัวเอง เช่น “เดี๋ยวเอามาคืน”) จุดสำคัญคือ ในสามมุมนี้ สิ่งที่องค์กรควบคุมได้ตรงที่สุดคือ opportunity แล้วนั่นแหละคือเหตุผลว่าทำไม control อย่าง segregation of duties (แยกหน้าที่ไม่ให้คนเดียวคุมครบวงจร) ถึงสำคัญ

บทบาทของผู้ตรวจในเรื่อง fraud ต้องชัดครับ เขา ไม่ใช่ ตำรวจ ไม่ใช่คนสอบสวนคดี หน้าที่หลักคือประเมินว่าองค์กรมีความเสี่ยง fraud ตรงไหน จับสัญญาณผิดปกติ (red flags) ให้เจอ แล้วรายงานตามช่องทางที่ถูกต้อง ส่วนการสอบสวนเต็มรูปแบบเป็นเรื่องของผู้เชี่ยวชาญด้านนั้นไป

  • มุมเถ้าแก่/สภา: fraud กัดกินทั้งเงินและความไว้ใจ ความเสียหายที่แท้จริงไม่ใช่แค่เงินที่หาย แต่คือวันที่เถ้าแก่เลิกเชื่อใจคนของตัวเอง
  • มุมผู้ตรวจ (คนสอบ): เจอโจทย์ fraud ให้ไล่หา fraud triangle ครบสามมุมไหม และระวังกับดักบทบาท — ข้อสอบชอบดันผู้ตรวจไปเป็น “ผู้สอบสวน” ทั้งที่หน้าที่จริงคือประเมินและรายงาน เดี๋ยว /posts/cia-p1-13-fraud-risks-types/ จะลงลึกทั้งด่านนี้

⚠️ กับดัก: ข้อสอบชอบวางคำตอบที่ให้ผู้ตรวจ “นำการสอบสวน fraud” หรือ “สรุปว่าใครผิด” ให้ดูเป็นฮีโร่ ทั้งที่ตามการวางบทบาท หน้าที่ผู้ตรวจคือประเมินความเสี่ยงและรายงาน red flags ไม่ใช่ตัดสินคดี

แผนที่มาตรฐาน: the Standards คือกฎหมายหลักของอาชีพ#

เดินครบห้าด่านแล้ว ยังมีอีกเรื่องที่ต้องเข้าใจก่อนลงรายละเอียดครับ คือเวลาผู้ตรวจบอกว่า “ต้องทำแบบนี้” เขาอ้างอิงมาจากอะไร คำตอบคือชุดกติกากลางของอาชีพชื่อ Global Internal Audit Standards หรือ GIAS ต่อจากนี้ผมขอเรียกสั้นๆ ว่า the Standards ละกันครับ

ให้นึกภาพว่านี่คือ “กฎหมายหลัก” ของวงการตรวจสอบภายในทั้งโลก ออกโดยองค์กรวิชาชีพกลาง ใครจะเรียกตัวเองว่าผู้ตรวจสอบภายในมืออาชีพ ก็ต้องเดินตามกติกาชุดนี้ ข้อดีสุดๆ สำหรับคนเรียนอย่างเราคือ the Standards เปิดให้อ่านฟรีบนเว็บขององค์กรวิชาชีพ ไม่ต้องซื้อ จุดนี้ผมเตือนตัวเองไว้เลยว่าให้เปิดตัวจริงอ่านคู่กับหนังสือ เพราะข้อสอบมันอิงถ้อยคำของมันตรงๆ

โครงของ the Standards เดินตามชีวิตของกองผู้ตรวจพอดีเลยครับ แบ่งเป็นห้าโดเมนใหญ่ ไล่จาก “ทำไมต้องมีกอง” → “จริยธรรมของคนในกอง” → “การกำกับดูแลกองจากด้านบน” → “การบริหารกอง” → “การลงมือทำงานจริง” ใต้ห้าโดเมนก็มีหลักการ (principle) รวม 15 ข้อ แล้วใต้หลักการแต่ละข้อก็มี standard ย่อยที่บอกละเอียดว่าต้องทำอะไรบ้าง สังเกตไหมครับว่าห้าด่านที่เราเพิ่งเดินมา มันก็คือสามโดเมนแรกนี่แหละ ตราตั้งกับความเป็นอิสระอยู่ในโดเมนการกำกับดูแล ส่วนจริยธรรมเป็นอีกโดเมนที่จะแทรกมาตลอดทาง

แล้ว COSO กับ ISO ที่เคยได้ยินล่ะ มันอยู่ตรงไหน ตอบง่ายๆ ว่ามันเป็น “แผนที่ประกอบ” ครับ the Standards คือกฎหมายที่บอกว่าผู้ตรวจ ต้อง ทำงานยังไงให้เป็นมืออาชีพ ส่วน COSO หรือ ISO เป็นกรอบ (framework) ที่องค์กรเอาไว้ ออกแบบ ระบบควบคุมหรือระบบบริหารความเสี่ยงของตัวเอง ผู้ตรวจก็หยิบมันมาเป็นไม้บรรทัดวัดว่าองค์กรวาง control ครบไหม แต่ตัวกติกาที่ผูกมัดตัวผู้ตรวจเองคือ the Standards นะ เดี๋ยวกรอบพวกนี้จะโผล่มาแบบจริงจังตอน /posts/cia-p1-07-risk-language-coso-erm-iso31000/ กับ /posts/cia-p1-09-controls-in-practice/

  • มุมเถ้าแก่/สภา: เถ้าแก่ไม่ต้องท่อง the Standards แต่ควรรู้ว่ากองของตัวเองเดินตามกติกากลางที่ทั้งโลกยอมรับ — นั่นคือสิ่งที่ทำให้รายงานของกองเชื่อถือได้ต่อหน้า board และคนนอก
  • มุมผู้ตรวจ (คนสอบ): ข้อสอบอิงถ้อยคำของ the Standards ตรงตัว เปิดตัวจริงอ่านคู่หนังสือ แล้วจำ เจตนา ของแต่ละ standard ไม่ต้องท่องเลข

เส้นแบ่งคำเดียวที่ดักคนพลาด: must กับ should#

ก่อนจบ storyboard มีเรื่องเล็กๆ แต่ดักคนตกเยอะมากครับ คือ the Standards เขาเลือกใช้คำแบบจงใจ คำว่า must แปลว่า ข้อบังคับที่ต้องทำแบบไม่มีเงื่อนไข ส่วนคำว่า should (กับ may) เป็นแค่ แนวปฏิบัติที่ควรพิจารณา ไม่ได้บังคับตายตัว แล้วเขาก็แยกไว้คนละส่วนในตัวมาตรฐานเลย ส่วนที่เป็น requirement ใช้ must ส่วนที่เป็นข้อพิจารณาในการนำไปใช้ (considerations) ใช้ should กับ may

ฟังดูเหมือนเรื่องภาษาเฉยๆ แต่ในห้องสอบมันคือคำตอบถูกกับผิดเลยนะครับ ลองคิดดู โจทย์อาจถามว่า “ตามการวางกติกา ผู้ตรวจ ต้อง ทำสิ่งใด” แล้ววางตัวเลือกที่เป็นแค่ “ควรทำ” (should) มาปนกับตัวเลือกที่เป็น “ต้องทำ” (must) จริงๆ ถ้าอ่านไม่ทันว่าโจทย์ถามระดับ must ก็ไปเลือก should ที่ฟังดูดีเข้าให้ซะงั้น เคล็ดที่ผมจดไว้คือ เวลาอ่าน the Standards ให้ขีดเส้นใต้คำว่า must ทุกครั้ง เพราะจุดนั้นแหละคือจุดที่ห้ามพลาดในห้องสอบ

กับดักภาพใหญ่ที่ต้องระวังตั้งแต่ก้าวแรก#

storyboard นี้ยังไม่ลงรายละเอียดแต่ละด่าน แต่มีกับดักภาพใหญ่ที่วางแนวไว้ก่อนได้ครับ

  • สลับคนอนุมัติ: ใครก็ได้ที่ไม่ใช่ board ถูกยกมาเป็นผู้อนุมัติ charter/mandate — ตัวจริงคือ board เสมอ
  • สลับนิยาม independence ↔ objectivity: จำแกน independence = ตำแหน่งของกอง, objectivity = ใจของคน
  • สลับ inherent ↔ residual: ให้สถานการณ์ที่วาง control แล้ว แต่ล่อด้วยคำตอบความเสี่ยงดิบ
  • สลับ conclusion ↔ opinion / advisory ↔ consulting: ยึดศัพท์ชุดใหม่ตาม the Standards ไว้
  • ดันผู้ตรวจไปเป็นผู้สอบสวน fraud: หน้าที่จริงคือประเมินความเสี่ยงและรายงาน red flags
  • สลับ must ↔ should: อ่านให้ทันว่าโจทย์ถามระดับบังคับหรือแค่ควร

สิ่งที่ต้องเห็นก่อนลงรายละเอียด#

  • Part 1 คือชีวิตของ “กองผู้ตรวจการ” ห้าด่านเรียงกัน: ตราตั้ง → ความเป็นอิสระ → ภาษา risk/control → ประเภทงาน → fraud
  • ผู้ให้อำนาจกองคือ board ผ่าน mandate ที่เขียนลงใน charter — CAE เป็นคนเดินเรื่อง ไม่ใช่คนอนุมัติ
  • independence เป็นเรื่องตำแหน่งของกอง objectivity เป็นเรื่องใจของคน — คนละชั้น แต่หนุนกัน
  • งานผู้ตรวจมีสองสาย assurance (ให้ conclusion, สามฝ่าย) กับ advisory (ตามที่ผู้ขอตกลง, สองฝ่าย)
  • the Standards (GIAS) คือกฎหมายหลักของอาชีพ อ่านฟรี โครงห้าโดเมน 15 หลักการ — COSO/ISO เป็นแค่แผนที่ประกอบ
  • คำว่า must = บังคับ, should = ควร — เส้นแบ่งนี้คือคำตอบถูกผิดในห้องสอบ

กางแผนที่เสร็จแล้ว ตอนหน้าเราลงด่านแรกกันจริงๆ ว่ากองผู้ตรวจการเกิดมาเพื่ออะไร ใครเป็นคนเซ็นให้อำนาจ แล้วทำไมกระดาษแผ่นเดียวถึงกลายเป็นที่มาของสิทธิ์เข้าถึงทุกลิ้นชักในองค์กร — ตอนถัดไป: purpose, mandate และ charter ครับ

อ้างอิง: Gleim CIA Review (2026), Part 1 · IIA Global Internal Audit Standards (2024)