1286 คำ
6 นาที
CIA Series ตอนที่ 02 : P1 - Purpose · Mandate · Charter: กระดาษที่ให้อำนาจทั้งกอง
สารบัญ

ลองนึกภาพวันแรกของกองผู้ตรวจการที่เพิ่งตั้งใหม่ครับ ผู้ตรวจคนแรกถือแฟ้มเดินเข้าไปในสาขาหนึ่ง ตั้งใจจะขอดูบัญชีกับใบสำคัญจ่าย ผู้จัดการสาขาเงยหน้าขึ้นมามองแล้วถามคำเดียวที่แทงใจดำ — “คุณเป็นใคร มีสิทธิ์อะไรมาเปิดลิ้นชักผม?”

คำตอบที่แย่ที่สุดคือยื่นนามบัตรให้ แล้วบอกว่า “ผมมาจากกองตรวจสอบครับ” เพราะนามบัตรไม่ได้ให้อำนาจอะไรเลย คนที่นั่งตรงนั้นก็รู้ว่ามันเป็นแค่กระดาษแข็งใบเล็ก

คำตอบที่ถูก คือชี้กลับไปที่กระดาษอีกแผ่นหนึ่ง แผ่นที่คณะกรรมการสูงสุดขององค์กรเซ็นอนุมัติ เขียนไว้ชัดว่ากองนี้ตั้งขึ้นมาทำอะไร มีอำนาจเข้าถึงอะไรได้บ้าง แล้วขึ้นตรงต่อใคร กระดาษแผ่นนั้นชื่อ charter (กฎบัตร) ส่วนอำนาจที่มันมอบให้ เรียกว่า mandate

ตอนนี้เลยจะไล่กันตั้งแต่ต้นเลยครับ ว่ากองผู้ตรวจการมีไว้เพื่ออะไรกันแน่ (คำตอบไม่ใช่ “จับผิด” อย่างที่หลายคนคิด) ใครเป็นคนให้อำนาจ ใครเป็นคนบริหาร แล้วทำไมกระดาษแผ่นเดียวถึงกลายเป็นที่พึ่งตอนมีคนไม่ยอมเปิดลิ้นชักให้

ตอนที่แล้วเรากางแผนที่ทั้ง Part 1 ไว้เป็นห้าด่าน — ตั้งแต่ตราตั้ง ความเป็นอิสระ ภาษา risk/control ประเภทงาน ไปจนถึงศึก fraud แล้วก็แนะนำ the Standards (GIAS) ในฐานะกฎหมายหลักของอาชีพ พร้อมเส้นแบ่ง must กับ should ที่ข้อสอบชอบเอามาหลอก คราวนี้เราลงด่านแรกกันจริงๆ — เรื่องตราตั้งของกอง

โครงของบท#

  • Purpose ของ internal audit คืออะไรจริงๆ — และทำไม “ตรวจ control / จับ fraud” ถึงไม่ใช่คำตอบ
  • เส้นแบ่งที่ข้อสอบชอบเล่น: ผู้ตรวจประเมิน ฝ่ายบริหารเป็นเจ้าของ
  • Mandate: ใครตั้ง ใครอนุมัติ ใครบริหาร (board / CAE / senior management คนละหน้าที่)
  • ขึ้นตรงต่อใคร — ทำไมต้อง board ไม่ใช่ CEO
  • Charter: ในกฎบัตรมีอะไร ไม่มีอะไร และทำไมมันคือที่มาของอำนาจเข้าถึง

Purpose — มีไว้ “เพิ่มคุณค่า” ไม่ใช่ “จับผิด”#

เริ่มจากคำถามพื้นฐานที่สุด กองผู้ตรวจการมีไว้ทำอะไร?

ถ้าถามเถ้าแก่ที่กิจการโตจนตาไปไม่ทั่ว คำตอบในใจแกน่าจะเป็น “ไว้จับคนโกง” หรือ “ไว้ไล่ดูว่าใครทำผิดระเบียบ” — ซึ่งเข้าใจได้ครับ แต่มาตรฐานบอกว่าไม่ใช่ อย่างน้อยก็ไม่ใช่ทั้งหมด

นิยามทางการของ internal auditing คือ บริการให้ความเชื่อมั่นและให้คำแนะนำ (assurance and advisory) ที่เป็นอิสระและเที่ยงธรรม ออกแบบมาเพื่อ เพิ่มคุณค่า และปรับปรุงการดำเนินงานขององค์กร ทำยังไง? ก็เอาวิธีการที่เป็นระบบและมีวินัยเข้าไปประเมินและยกระดับประสิทธิผลของ governance, การบริหารความเสี่ยง (risk management) กับการควบคุม (control) สามอย่างนี้รวมกันมักเรียกย่อว่า GRC

หัวใจอยู่ตรงคำว่า add value / improve ครับ นั่นแหละคือ ภารกิจ (mission) ส่วนงานย่อยทุกอย่าง — ประเมิน control, ตรวจหา fraud, ดูระบบบัญชี, ช่วยผู้สอบบัญชีภายนอกให้ทำงานเร็วขึ้น — พวกนี้เป็นแค่ วิธีการ (means) ที่พาไปสู่ภารกิจ ไม่ใช่ตัวภารกิจเอง

มุมเถ้าแก่/สภา: พอมองแบบนี้ มูลค่าของกองผู้ตรวจการเปลี่ยนไปเลย มันไม่ใช่ค่าใช้จ่ายของ “หน่วยตำรวจในบ้าน” ที่ไว้ลงโทษคน แต่เป็นการลงทุนให้มีคนคอยบอก board กับผู้บริหารว่า “ตรงนี้ระบบยังโหว่นะ ถ้าไม่ปิด เดี๋ยวเจ็บ” — เป็นทั้ง insight (มองเห็นปัญหาปัจจุบัน) และ foresight (เตือนอนาคต) ที่ช่วยให้องค์กรสร้าง ปกป้อง และรักษามูลค่าไว้ได้ ในองค์กรภาครัฐ (Public sector) ก็ยิ่งชัด เพราะคุณค่าที่ต้องปกป้องคือประโยชน์ของประชาชน ไม่ใช่แค่กำไรผู้ถือหุ้น

มุมผู้ตรวจ (คนสอบ): นี่คือจุดที่ข้อสอบวางกับดักชั้นแรกไว้ให้เหยียบ เวลาโจทย์ถามว่า “อะไรคือ purpose / อะไร best defines internal auditing” เขาจะเอางานย่อยที่ เป็นจริง มาวางล่อ — “ประเมินการควบคุมภายใน”, “ตรวจหาการทุจริต”, “ตรวจสอบระบบบัญชี” ทุกตัวเป็นงานจริงของผู้ตรวจทั้งนั้น แต่แต่ละตัวเป็นแค่ หนึ่งงาน ไม่ใช่ purpose

⚠️ กับดัก: ตัวเลือกที่บอกว่า purpose คือ “ช่วยผู้สอบบัญชีภายนอก / ลดค่าสอบบัญชี / ให้ความเชื่อมั่นว่างบการเงินแสดงถูกต้อง” — พวกนี้อาจเป็น ผลพลอยได้ แต่ไม่เคยเป็น เหตุผลที่กองนี้ถูกตั้งขึ้น และระวังคำที่กวาดขอบเขตแบบสุดโต่ง เช่น “รับประกันว่าไม่มี fraud ใดๆ เลย” เพราะผู้ตรวจประเมินความเสี่ยง fraud ไม่เคยการันตีว่าจะไม่มี fraud เกิดขึ้น ตัวเลือกไหนมีคำว่า “รับประกันการปราศจากทุจริตทั้งหมด” ตัดทิ้งได้เลย

วิธีคิดง่ายๆ ตอนเจอโจทย์แนวนี้ ถามตัวเองคำเดียว: ตัวเลือกนี้กำลังพูดถึง ภารกิจ หรือ งานย่อย? ถ้ามันชี้ไปที่ deliverable ชิ้นเดียว (control, fraud, งบ, ช่วย external audit) = งานย่อย = ผิด ต่อให้ข้อความนั้นถูกต้องแค่ไหนก็ตาม ตัวเลือกที่พูดว่า เพิ่มคุณค่า / ปรับปรุง GRC ขององค์กร ด้วยการให้ความเชื่อมั่นอย่างเป็นอิสระและเที่ยงธรรม — นั่นแหละคือ purpose

เส้นแบ่งคมกริบ: ผู้ตรวจ “ประเมิน” ฝ่ายบริหาร “เป็นเจ้าของ”#

ตรงนี้เป็นเส้นที่ต้องคมมากครับ เพราะข้อสอบเล่นกับมันบ่อยจนน่าจะเรียกได้ว่าเป็น pattern ประจำ

พูดสั้นๆ: ผู้ตรวจสอบภายใน ประเมินและปรับปรุง — ฝ่ายบริหาร จัดการ ควบคุม ดำเนินการ อนุมัติ ปกป้องดูแล งานสองฝั่งนี้ห้ามสลับกันเด็ดขาด

ลองนึกภาพในอาณาจักรเถ้าแก่ ผู้จัดการสาขาเป็นคนที่ต้อง จัดการ ความเสี่ยงหน้างานจริง: ล็อกตู้เซฟ นับเงิน เซ็นอนุมัติเบิกจ่าย วางระเบียบว่าใครทำอะไรได้ ส่วนผู้ตรวจการที่เดินเข้าไป มีหน้าที่แค่ ประเมิน ว่าสิ่งที่ผู้จัดการทำอยู่มันรัดกุมพอไหม ถ้าผู้ตรวจลงไปล็อกตู้เซฟเอง หรือไปเซ็นอนุมัติเบิกจ่ายแทน — วันหลังใครจะตรวจงานของผู้ตรวจล่ะครับ? มันกลายเป็นตรวจงานตัวเอง (self-review) ทันที

มุมเถ้าแก่/สภา: เส้นนี้คือสิ่งที่ทำให้ความเชื่อมั่นจากกองผู้ตรวจการ เชื่อถือได้จริง ถ้าปล่อยให้ผู้ตรวจไปทำงานบริหารเสียเอง รายงานที่ส่งขึ้น board ก็เชื่อไม่ได้ เพราะเขากำลังให้เกรดงานตัวเอง เถ้าแก่จ่ายเงินเลี้ยงกองนี้ไว้เพื่อ “ตาที่เป็นกลาง” — พอตาไปพัวพันกับมือที่ลงมือทำ ความเป็นกลางก็หายไป

มุมผู้ตรวจ (คนสอบ): เวลาเจอโจทย์ ให้จับ คำกริยา ที่ผูกกับ internal audit เป็นหลัก

⚠️ กับดัก: ตัวเลือกชอบเอาคำกริยาของฝ่ายบริหารมาแปะให้ผู้ตรวจ ที่เจอบ่อยสุดคือ “risk-verb swap” คือวางคำว่า “eliminating / managing / controlling risk” ไว้ข้างๆ คำที่ถูกคือ “evaluating risk” มีแค่ evaluate เท่านั้นที่เป็นของผู้ตรวจ ที่เหลือเป็นของฝ่ายบริหาร กับดักคู่แฝดอีกชุดคือ “อนุมัติวัตถุประสงค์การดำเนินงาน”, “พัฒนาและติดตั้งขั้นตอนการควบคุม”, “นำข้อเสนอแนะไปปฏิบัติ”, “ปลดฝ่ายบริหารจากความรับผิดชอบเรื่อง control” — พวกนี้เป็นงาน ลงมือทำ / เป็นเจ้าของ ทั้งหมด ไม่ใช่ของผู้ตรวจ

และระวัง cross-angle ครับ ถ้าโจทย์พลิกเป็น “ข้อใดอยู่นอกขอบเขตของ internal audit” — คราวนี้คำตอบที่ถูกกลับด้าน กลายเป็นคำกริยาเชิงปฏิบัติการอย่าง “การปกป้องดูแลทรัพย์สิน (safeguarding of assets)” แทน เพราะนั่นเป็นงานของฝ่ายบริหารจริงๆ ส่วนตัวเลือกที่ขึ้นต้นด้วย “ประเมินความสอดคล้อง / ประเมินตามเกณฑ์” กลายเป็นของที่อยู่ในขอบเขต

ตัวช่วยจำ: คำกริยาฝั่งผู้ตรวจคือ ประเมิน / assess / ascertain / recommend / ให้ความเชื่อมั่น — คำกริยาฝั่งฝ่ายบริหารคือ eliminate / manage / control / own / approve / implement / develop / safeguard เห็นคำหลังผูกกับ internal audit ในโจทย์ปกติเมื่อไหร่ นั่นคือกับดัก

Mandate — ใครตั้ง ใครอนุมัติ ใครบริหาร#

ทีนี้มาถึงหัวใจของตอนนี้จริงๆ ครับ นั่นคืออำนาจของกองผู้ตรวจการมาจากไหน

mandate (internal audit mandate) คือชุดของ อำนาจ บทบาท และความรับผิดชอบ ที่กองผู้ตรวจการได้รับ พูดง่ายๆ คือ “ใบมอบอำนาจ” ที่บอกว่ากองนี้ทำอะไรได้แค่ไหน และ mandate นี้จะถูกจดลงเป็นลายลักษณ์อักษรใน charter อีกที

คำถามที่ข้อสอบชอบถามที่สุดคือ ใครเป็นคนตั้งและอนุมัติ mandate นี้? คำตอบสั้นๆ ที่ต้องจำให้ขึ้นใจ:

  • board อนุมัติ — คณะกรรมการสูงสุด (board of directors, audit committee หรือ board of trustees) เป็นคน establish / approve / oversee mandate และเป็นคนมอบอำนาจให้
  • CAE บริหาร — chief audit executive (หัวหน้ากองตรวจ) เป็นคน administer / จัดการ / ทบทวนเป็นระยะ / เสนอเข้าอนุมัติ / รายงานและสื่อสาร กับ board
  • senior management สนับสนุน — ผู้บริหารระดับสูงมีหน้าที่ ให้ข้อมูล ให้ความเห็น สนับสนุน เท่านั้น ไม่ใช่คนอนุมัติ

จุดที่ควรรู้: CAE เป็นคนป้อนข้อมูลให้ board กับ senior management ใช้ตัดสินใจกำหนด mandate เขาคอยบอกว่ากองตรวจที่ดีควรมีลักษณะยังไง มาตรฐานว่าไงบ้าง กฎหมายบังคับอะไร แล้ว board กับ senior management ค่อยตัดสินใจร่วมกันว่าจะให้กองตรวจทำบริการประเภทไหน ขอบเขตแค่ไหน จากนั้น CAE ก็เอา mandate ที่ตกลงกันไปจดลงใน charter ที่ board อนุมัติ ถ้ามีกฎหมายกำหนด mandate ไว้ ก็ต้องเขียนข้อกฎหมายนั้นลงใน charter ด้วย

มุมเถ้าแก่/สภา: ระบบนี้ออกแบบมาให้อำนาจของกองตรวจ ไม่ได้มาจากตัวหัวหน้ากองเอง แต่มาจาก board ซึ่งเป็นตัวแทนของเจ้าของ นั่นคือเหตุผลที่ผู้จัดการสาขาเถียงหัวหน้ากองตรวจตรงๆ ไม่ได้ เพราะจริงๆ แล้วเขากำลังเถียงกับ อำนาจของ board ที่มอบผ่านกฎบัตรมา — ไม่ใช่เถียงกับคนถือแฟ้ม

มุมผู้ตรวจ (คนสอบ): โจทย์แนวนี้เล่นกับ “การสลับบทบาท” เป็นหลัก จำ tier ของคำกริยาให้แม่น

⚠️ กับดัก: ที่เจอบ่อยคือ role reversal คือ “ฝ่ายบริหารอนุมัติ mandate” หรือ “ฝ่ายบริหารทำหน้าที่กำกับดูแลเชิงกลยุทธ์” ผิดทันที เพราะการอนุมัติและกำกับดูแลเป็นของ board อีกกับดักคือ ยก CAE สูงเกินจริง เช่น “CAE กำหนดลำดับความสำคัญเชิงกลยุทธ์ / วางนโยบายการตรวจ” ในฐานะแก่นของ mandate อันนี้เป็นการ บริหารงานของกอง ไม่ใช่สิ่งที่ mandate มอบหมายเป็นหน้าที่หลัก และระวังตัวเลือกที่ให้ CEO หรือ CFO เป็นคน “establish and approve” mandate — สองคนนี้แค่ สนับสนุน ไม่ได้อนุมัติ ในทางกลับกัน ถ้าให้ board ไปทำงานละเอียดอย่าง “กำหนดขั้นตอนการตรวจ / ออกแบบวิธีการ / จัดวาระการตรวจ” ก็ผิดเหมือนกัน เพราะ board ให้แค่การกำกับดูแลระดับสูง ไม่ลงรายละเอียดปฏิบัติการ

cross-angle ที่ต้องระวัง: ถ้าโจทย์ถามว่า CAE มีส่วนอะไรใน mandate คำตอบคือคำกริยาแนว สื่อสาร / แจ้ง / บริหารจัดการ / นำเสนอกฎบัตร (inform the board, communicate) ไม่ใช่ “แก้ไข mandate เองฝ่ายเดียว” หรือ “อนุมัติ”

ขึ้นตรงต่อใคร — ทำไมต้อง board ไม่ใช่ CEO#

พอพูดเรื่องอำนาจแล้ว คำถามถัดมาที่เลี่ยงไม่ได้คือ แล้วกองผู้ตรวจการนี้ ขึ้นตรง ต่อใคร

คำตอบตามมาตรฐาน: internal audit จะมีประสิทธิผลสูงสุดเมื่อมันเป็นอิสระ (independence) และ รับผิดชอบตรงต่อ board (direct accountability to the board) ในทางปฏิบัติจะเป็นความสัมพันธ์แบบ dual-reporting คือ functionally ขึ้นตรงต่อ board (เรื่องเนื้องานตรวจ) และ administratively ขึ้นกับ senior management (เรื่องธุรการ งบประมาณ วันลา) แต่เส้นที่สำคัญที่สุด เส้นที่ปกป้องความเป็นอิสระ — คือเส้นที่วิ่งตรงขึ้นไปหา board

มุมเถ้าแก่/สภา: ลองคิดดูนะครับว่าถ้ากองผู้ตรวจการขึ้นตรงต่อ CEO แล้วมันเกิดอะไรขึ้น วันดีคืนดีกองตรวจไปเจอปัญหาที่ต้นตอมาจากการตัดสินใจของ CEO เอง แล้วจะกล้ารายงานไหม? รายงานไปก็เท่ากับฟ้องเจ้านายตรงของตัวเอง เส้นสายบังคับบัญชาแบบนั้นทำให้ปากของกองตรวจถูกปิดตั้งแต่ต้น การให้ขึ้นตรงต่อ board จึงเป็นการออกแบบให้กองตรวจ “รายงานได้สูงพอ” ที่จะพูดความจริงเรื่องใครก็ได้ในองค์กร รวมถึงตัว CEO เอง

มุมผู้ตรวจ (คนสอบ): โจทย์กลุ่มนี้มักเอา “ประสิทธิภาพ” มาเป็นเหยื่อล่อ

⚠️ กับดัก: ตัวเลือกที่บอกว่า “ให้ขึ้นตรงต่อ CEO / รวมกองตรวจไว้ใต้ CEO เพื่อความมีประสิทธิภาพ” หรือ “รายงานต่อฝ่ายบริหารเพื่อความคล่องตัว” — เหยื่อคือคำว่าประสิทธิภาพ แต่มันแลกมาด้วยความเป็นอิสระที่เสียไป (impaired) ตัดทิ้ง เช่นเดียวกับ “จำกัดขอบเขตการตรวจไว้เฉพาะพื้นที่ที่ฝ่ายบริหารเลือกให้ / ทำงานภายใต้การกำกับของฝ่ายบริหาร” พอฝ่ายบริหารกำหนดขอบเขตได้ ความเป็นอิสระก็เสีย และระวังตัวเลือก “CAE รับผิดชอบการติดตั้ง internal control” ที่ทำให้ผู้ตรวจไปเป็นเจ้าของสิ่งที่ตัวเองต้องตรวจ (เมล็ดพันธุ์ self-review) ผิดเต็มๆ

กับดักสุดโต่งอีกอัน: “outsource แล้วโอนความรับผิดชอบทั้งหมดออกไป จนองค์กรไม่ต้องรับผิดชอบต่อ board อีกต่อไป” — ผิด เพราะองค์กร เก็บความรับผิดชอบต่อ board ไว้เสมอ ต่อให้จ้างคนนอกมาตรวจก็ตาม

cross-angle: ถ้าโจทย์ถามว่า “ทัศนคติของฝ่ายบริหารที่มองว่าไม่จำเป็นต้องมีกองตรวจ ส่งผลเสียต่ออะไร” — คำตอบคือ ประสิทธิผล (effectiveness) ของกองตรวจ (เพราะมันจะรายงานได้ไม่สูงพอที่จะทำหน้าที่) ไม่ใช่เรื่องงบประมาณผิดพลาดหรือการประเมินผลพนักงาน

Charter — กระดาษที่ให้อำนาจทั้งกอง#

มาถึงพระเอกของตอนครับ internal audit charter (กฎบัตรการตรวจสอบภายใน) คือเอกสารทางการที่ระบุ purpose, authority, responsibility และตำแหน่งขององค์กร ของกองตรวจ อนุมัติโดย board (หรือ audit committee) มองง่ายๆ มันคือ “พิมพ์เขียว” ว่ากองตรวจจะทำงานยังไง

ตามมาตรฐาน กฎบัตรต้องระบุอย่างน้อย: purpose ของ internal auditing, การยึดตาม the Standards, ตัว mandate (รวมขอบเขตและประเภทบริการ + ความคาดหวังของ board เรื่องการสนับสนุนจากฝ่ายบริหาร) และตำแหน่ง/ความสัมพันธ์การรายงานในองค์กร

มีเอกสารอีกใบที่ชื่อคล้ายกันจนคนสับสน คือ audit committee charter อันนี้เป็นกฎบัตรของ คณะกรรมการตรวจสอบ บอกว่า audit committee มีองค์ประกอบ โครงสร้าง และหน้าที่ยังไงในการช่วย board กำกับดูแลการรายงานทางการเงิน control และการปฏิบัติตามกฎเกณฑ์ สองใบนี้ เป็นคนละเอกสารกันนะครับ ใบหนึ่งกำกับกิจกรรมของคณะกรรมการตรวจสอบ อีกใบกำกับและจัดตั้งกองตรวจสอบภายในโดยเฉพาะ ข้อสอบชอบเอามาสลับกัน

ในกฎบัตรมีอะไร ไม่มีอะไร#

เรื่องนี้เป็นกับดักที่ถามซ้ำแล้วซ้ำอีกจนต้องแยกออกมาเป็นหัวข้อ หลักคิดง่ายๆ: กฎบัตรบอกเรื่อง “ระดับสูง” — purpose, authority, responsibility, scope, ประเภทบริการ และสายการรายงาน แต่ ไม่บอก รายละเอียดของคน ตัวเลข หรือวิธีการทำงาน

มุมเถ้าแก่/สภา: เหตุผลที่กฎบัตรไม่ลงรายละเอียดพวกนี้ เพราะมันคือเอกสาร “รัฐธรรมนูญ” ของกอง วางกรอบอำนาจไว้ให้มั่นคงและไม่ต้องแก้บ่อย ลองคิดดูนะ ถ้าเอาจำนวนพนักงาน งบประมาณ หรือ KPI ไปใส่ไว้ กฎบัตรก็ต้องรื้อทุกปีที่ตัวเลขเปลี่ยน ซึ่งบั่นทอนความศักดิ์สิทธิ์ของมันเอง เรื่องพวกนั้น CAE กับ board จัดการกันในระดับปฏิบัติการแทน

มุมผู้ตรวจ (คนสอบ): เจอโจทย์ “ข้อใดควรอยู่ในกฎบัตร / ข้อใดไม่ควรอยู่” ให้ถามคำเดียว — นี่คือ ข้อความระดับสูงเรื่อง purpose / อำนาจ / ความรับผิดชอบ / ขอบเขต / ตำแหน่งในองค์กร / สายรายงานของ CAE ต่อ board ใช่ไหม? ถ้าใช่ = อยู่ในกฎบัตร ถ้ามันระบุ ตัวคน ตัวเลข ทักษะ วิธีการ KPI ค่านิยม หรืองบประมาณ = ไม่อยู่

⚠️ กับดัก: ตัวเลือกที่มักถูกแอบเอามาใส่ว่าอยู่ในกฎบัตร ทั้งที่ ไม่อยู่ ได้แก่ objectivity/ความเที่ยงธรรมของตัวบุคคล, บทบาทของพนักงานแต่ละคน, ทักษะที่ต้องมี, ค่าตอบแทน/วาระ/คุณสมบัติของ CAE (พวกนี้เป็นคุณสมบัติระดับ บุคคล), จำนวนพนักงานขั้นต่ำ, จำนวน engagement ขั้นต่ำต่อปี, รายละเอียดงบประมาณ (พวกนี้เป็น ตัวเลข/ทรัพยากร), และ KPI, วิธีการตรวจ (methodology), การประเมินความเสี่ยงของตัวกอง, ค่านิยม/วิสัยทัศน์ (พวกนี้เป็น วิธีการทำงาน) ตัวเลือกไหนเจาะจงถึงคน ตัวเลข หรือ “how we work” — ตัดออกจากกฎบัตรได้เลย

ในทางกลับกัน สิ่งที่ อยู่ ในกฎบัตรแน่ๆ คือ: purpose ของกอง, scope ของบริการ, authority ของกอง, ความรับผิดชอบและอำนาจของกอง, สายการรายงานเชิง functional ของ CAE ต่อ board, บทบาทของ board/senior management/IA และแม้แต่ความรับผิดชอบเรื่องการติดตามผล (follow-up) ข้อตรวจพบ

ทำไมกฎบัตรคือที่มาของ “อำนาจเข้าถึง”#

ย้อนกลับไปฉากเปิดเรื่องครับ ตอนที่ผู้จัดการสาขาไม่ยอมเปิดลิ้นชัก คำตอบที่ให้อำนาจผู้ตรวจไม่ใช่นามบัตร ไม่ใช่ตำแหน่ง แต่คือ กฎบัตรที่ board อนุมัติ ซึ่งระบุไว้ว่ากองตรวจมี unrestricted access — สิทธิ์เข้าถึง records, personnel และ physical property โดยไม่มีข้อจำกัด

นี่แหละคือเหตุผลที่กฎบัตรกลายเป็นที่พึ่งเวลามีข้อพิพาทเรื่องขอบเขต หรือมีคนปฏิเสธไม่ให้เข้าถึง เพราะมันคือเอกสารที่ มอบอำนาจจริง ไม่ใช่แค่แนะแนว

มุมเถ้าแก่/สภา: พอเขียนสิทธิ์เข้าถึงลงในกฎบัตรที่ board เซ็น มันก็กลายเป็นข้อตกลงระดับสูงสุดขององค์กร ผู้จัดการสาขาคนไหนขวางก็เท่ากับขวางมติของ board นี่คือกลไกที่ทำให้กองตรวจเดินเข้าไปดูอะไรก็ได้โดยไม่ต้องไปง้อขออนุญาตทีละแผนก

มุมผู้ตรวจ (คนสอบ): โจทย์กลุ่มนี้ถามว่า “อำนาจมาจากไหน / ทำไมถึงเข้าถึงได้ / จะแก้ข้อพิพาทเรื่องขอบเขตยังไง”

⚠️ กับดัก: ที่เจอบ่อยสุดคือเอา “the Standards” มาเป็นคำตอบว่าเป็นที่มาของอำนาจ — the Standards ชี้แนะ ได้ แต่ มอบอำนาจจริงให้กองไม่ได้ อำนาจต้องมาจากกฎบัตรที่ board อนุมัติ อีกกับดักคือ “นโยบายและขั้นตอนการตรวจ / แผนระยะยาว” เป็นตัวรับประกันการเข้าถึง พวกนี้แค่ช่วยให้ทำงานสม่ำเสมอ ไม่ได้ให้อำนาจหรือรับประกันการเข้าถึง และระวังตัวเลือกที่ให้ ผู้บริหารคนเดียว (controller, CFO, CEO) เป็นคนมอบอำนาจ เพราะอำนาจมาจาก senior management และ board ไม่ใช่ผู้จัดการคนใดคนหนึ่ง

cross-angle: ถ้าถาม “เหตุผลที่ดีที่สุดในการปฏิเสธคำขอ” — คำตอบคือ มันอยู่นอกอำนาจที่กฎบัตรมอบให้ ไม่ใช่เพราะสนิทกับคนขอ ไม่ใช่เพราะเรื่องเล็กไม่มีนัยสำคัญ และไม่ใช่เพราะเพิ่งตรวจพื้นที่นั้นไป

ใครอนุมัติกฎบัตรฉบับสุดท้าย#

ปิดท้ายด้วยเรื่องการอนุมัติ ซึ่งย้ำ pattern เดิมของ mandate นั่นแหละ: การอนุมัติกฎบัตรฉบับสุดท้าย = board ส่วนอำนาจของกอง = มาจาก senior management และ board ร่วมกัน โดย CAE กับ senior management เป็นคน เสนอ/ร่าง แล้ว board เป็นคน ทบทวนและอนุมัติ ไม่มีใครคนเดียวทำได้หมดครับ มันเป็นการทำงานร่วมกัน (collaborative) ไม่ใช่ต่างคนต่างทำแบบแยกส่วน

มุมผู้ตรวจ (คนสอบ):

⚠️ กับดัก: ตัวเลือกที่ยกผู้บริหารคนเดียวเป็นผู้มอบอำนาจหรือผู้อนุมัติ เช่น “board และ controller”, “senior management และ the Standards”, “board และ CFO”, “อนุมัติโดย CEO” — ผิดหมด เพราะการอนุมัติสุดท้ายเป็นของ board เท่านั้น และระวังตัวเลือกที่ยกอำนาจให้คนที่ไม่มี เช่น “ฝ่ายบริหารเป็นคนพัฒนาขั้นตอน”, “ผู้ตรวจเป็นคนอนุมัติบริการ”, “ผู้รับตรวจกำหนดตำแหน่งของกอง”

cross-angle ที่คลาสสิก: หลังจาก board อนุมัติให้กองเพิ่มบริการ advisory แล้ว ขั้นตอนถัดไป คืออะไร? คำตอบคือ แก้ไขกฎบัตร (amend the charter) ให้สะท้อนบริการใหม่ (แล้ว CAE ค่อยไปวางนโยบาย) — ไม่ใช่เริ่มลงมือทำเลย ไม่ใช่กลับไปอนุมัติซ้ำกับผู้ตรวจ และไม่ใช่ให้ board ไปเขียนขั้นตอนการทำงานเอง

ตารางกับดักรวม#

สถานการณ์คำตอบหลอกคำตอบจริง
อะไรคือ purpose / best defines internal auditing”ประเมิน control”, “ตรวจ fraud”, “ช่วย external auditor / ลดค่าสอบบัญชี”เพิ่มคุณค่า & ปรับปรุง GRC ด้วย assurance ที่อิสระและเที่ยงธรรม
ตัวเลือกที่มีคำสุดโต่ง”รับประกันว่าไม่มี fraud ใดๆ เลย”ประเมิน ความเสี่ยง fraud ไม่การันตี
ขอบเขตของ IA เรื่องความเสี่ยงeliminate / manage / control riskevaluate risk เท่านั้น
งานของฝ่ายบริหารที่แปะให้ IAอนุมัติ objective, ติดตั้ง control, นำข้อเสนอไปปฏิบัติIA แค่ประเมิน/แนะนำ
ข้อใด อยู่นอก ขอบเขต IA (โจทย์พลิก)“ประเมินความสอดคล้อง”safeguarding of assets (งานบริหาร)
ใครอนุมัติ mandate/charterฝ่ายบริหาร / CEO / CFO อนุมัติboard อนุมัติ
CAE มีบทบาทอะไรใน mandate”แก้ mandate เองฝ่ายเดียว / อนุมัติ”administer, inform & communicate, เสนอเข้าอนุมัติ
IA ขึ้นตรงต่อใครถึงมีประสิทธิผลสูงสุดขึ้นตรงต่อ CEO เพื่อความคล่องตัวdirect accountability ต่อ board
ทัศนคติ “ไม่ต้องมี IA” กระทบอะไรงบประมาณ / การประเมินพนักงานeffectiveness ของ IA
อะไรอยู่ในกฎบัตรจำนวนพนักงานขั้นต่ำ, KPI, ทักษะ, ค่าตอบแทน CAE, methodologypurpose, authority, responsibility, scope, สายรายงาน
ที่มาของอำนาจ/สิทธิ์เข้าถึง”the Standards”, นโยบาย, ผู้บริหารคนเดียวกฎบัตรที่ board อนุมัติ (unrestricted access)
เหตุผลปฏิเสธคำขอที่ดีที่สุดสนิทกับคนขอ / เรื่องเล็ก / เพิ่งตรวจอยู่นอกอำนาจที่กฎบัตรมอบให้
หลัง board อนุมัติให้เพิ่ม advisory ขั้นถัดไปเริ่มลงมือตรวจเลยแก้ไขกฎบัตร (amend charter)

สิ่งที่จดสำหรับวันสอบ#

  • Purpose = add value / improve GRC งานย่อยทุกอย่าง (control, fraud, ช่วย external) เป็นแค่ วิธีการ ไม่ใช่ purpose
  • เจอคำ สุดโต่ง (รับประกัน / ไม่มีใดๆ เลย / ทั้งหมด) ในตัวเลือก → ตัดทิ้งไว้ก่อน
  • คำกริยาฝั่งผู้ตรวจ = evaluate / assess / recommend / assure ฝั่งฝ่ายบริหาร = manage / control / approve / implement / safeguard เจอคำหลังผูกกับ IA ในโจทย์ปกติ = กับดัก (ยกเว้นโจทย์ถาม “นอกขอบเขต” ให้กลับด้าน)
  • board อนุมัติ · CAE บริหาร · senior management สนับสนุน ท่องสามคำนี้ให้ติดปาก
  • IA มีประสิทธิผลสูงสุดเมื่อ ขึ้นตรงต่อ board — เจอ “ขึ้นตรงต่อ CEO เพื่อประสิทธิภาพ” คือเหยื่อ
  • กฎบัตร บอก purpose/authority/responsibility/scope/สายรายงาน — ไม่บอก คน ตัวเลข ทักษะ วิธีการ KPI งบ
  • ที่มาของอำนาจและสิทธิ์เข้าถึง = กฎบัตรที่ board อนุมัติ ไม่ใช่ the Standards ไม่ใช่ผู้บริหารคนเดียว
  • อยากเห็นภาพเต็มว่า board / senior management / แต่ละสายงานวางตัวยังไงในองค์กร ลองอ่านกายวิภาคขององค์กรประกอบ

มีตราตั้งแล้ว มีอำนาจแล้ว แต่ยังเหลือคำถามใหญ่ที่ทำให้กองนี้ต่างจากลูกน้องคนอื่น — ทำยังไงให้กองยืนตรงได้จริง ไม่โดนใครกดหัว ตอนหน้าเราเจาะเรื่องความเป็นอิสระ แยก independence ออกจาก objectivity แล้วดูว่ามีอะไรมาทำให้มันพังได้บ้าง ตอนถัดไป: independence กับ impairment ครับ

อ้างอิง: Gleim CIA Review (2026), Part 1 · IIA Global Internal Audit Standards (2024)