1058 คำ
5 นาที
CIA Series ตอนที่ 05 : P1 - จรรยาบรรณ II: Competency · Due Care · Confidentiality
สารบัญ
โครงของบท Competency — ความสามารถ: ทีมรวมกันเก่ง ไม่ใช่ทุกคนต้องเก่งทุกเรื่อง ขาดทักษะแล้วต้องทำยังไง — หาผู้เชี่ยวชาญ ไม่ใช่ลุยเอง Competency ไม่ใช่ข้ออื่น — อย่าสับหลักกัน สื่อสารก็เป็น competency — กระชับ ตรงประเด็น ชนะเสมอ Due Professional Care — ระวังเยี่ยงมืออาชีพ ไม่ใช่การันตีสมบูรณ์แบบ เช็กลิสต์สิ่งที่ต้อง “พิจารณา” Professional Skepticism — สงสัยไว้ก่อน ยืนยันจากหลายแหล่ง ตื่นตัวต่อความผิดปกติเสมอ อย่าปักใจเชื่อ Confidentiality — รักษาความลับ: รู้จากงาน เอาไปใช้ผิด = ผิด ”ไม่ได้อะไรเลย” ไม่ใช่ข้อแก้ตัว เปิดเผยได้ ถ้ามีอำนาจอนุมัติ หรือกฎหมายบังคับ control ที่ดีที่สุด — เข้ารหัส + จำกัดสิทธิ์ + ทำตามนโยบาย ครบชุด ตารางกับดักรวม สิ่งที่จดสำหรับวันสอบ

เอาตรงๆ ตอนอ่านบทนี้ ภาพที่ลอยขึ้นมาในหัวคือฉากนี้ครับ

ลองนึกภาพว่าอาณาจักรเถ้าแก่แห่งหนึ่งขยายจนมีโรงงานของตัวเองแล้ว วันหนึ่งสภา (board) สั่งลงมาว่าอยากให้กองผู้ตรวจการเข้าไปดูโครงการก่อสร้างคลังสินค้าใหม่ ว่าวัสดุที่ผู้รับเหมาใช้ตรงตามแบบที่ตกลงกันไว้ไหม งบบานปลายเพราะอะไร

หัวหน้ากองผู้ตรวจการนั่งกุมขมับ เพราะทั้งกองไม่มีใครอ่านแบบวิศวกรรมออกสักคน ตรวจบัญชีเป็น ตรวจ process เป็น แต่พอเจอเรื่องคานเรื่องเหล็กเรื่องคอนกรีตนี่จนปัญญาเลย

แล้วตกลงจะทำยังไงดีล่ะ? รับงานแล้วลุยไปทั้งที่ไม่รู้เรื่อง? ปฏิเสธไปเลยว่าไม่ถนัด? หรือมีทางที่สามที่ the Standards บอกว่า “ต้องทำ”?

ตอนที่แล้วเราลงจรรยาบรรณสองข้อแรก — integrity คือหน้าที่เปิดเผยข้อเท็จจริงสำคัญ ปิดบังคือผิด และ objectivity คือความเที่ยงธรรมส่วนบุคคล พร้อมกับดักเรื่องของกำนัล cooling-off กับ conflict of interest ตอนนี้เก็บสามข้อที่เหลือให้ครบ ซึ่งเปิดหัวด้วยข้อ competency พอดี — เพราะเรื่องอ่านแบบวิศวกรรมไม่ออกข้างบนนี่แหละคือโจทย์ของมันเป๊ะ

โครงของบท#

ตอนนี้มาเก็บจรรยาบรรณ 3 ข้อสุดท้ายจาก 5 ข้อของผู้ตรวจสอบภายใน ต่อจากตอนที่แล้วที่ว่าด้วย integrity กับ objectivity ไปแล้ว:

  • Competency — ความสามารถ ใครต้องเก่ง ทีมหรือคน และขาดทักษะแล้วต้องทำยังไง
  • Due Professional Care — ความระมัดระวังเยี่ยงมืออาชีพ ที่ไม่เท่ากับการันตีความสมบูรณ์แบบ
  • Professional Skepticism — ความสงสัยเชิงวิชาชีพ ลูกน้องของ due care ที่ข้อสอบชอบแยกมาถามเดี่ยว
  • Confidentiality — การรักษาความลับของข้อมูลที่เห็นระหว่างตรวจ

ทุกหัวข้อจะเล่า 2 มุมเหมือนเดิม — มุมเถ้าแก่/สภาว่าทำไมต้องแคร์ กับมุมคนสอบว่าข้อสอบมันดักตรงไหน

Competency — ความสามารถ: ทีมรวมกันเก่ง ไม่ใช่ทุกคนต้องเก่งทุกเรื่อง#

กลับมาที่ฉากเปิด หัวหน้ากองผู้ตรวจการอ่านแบบวิศวกรรมไม่ออก แล้วยังไงต่อ?

นี่แหละหัวใจของ Principle 3 Demonstrate Competency — ผู้ตรวจสอบภายในต้องมี หรือหามาให้ได้ ซึ่งความรู้ ทักษะ และความสามารถที่จำเป็นต่อการทำงานให้สำเร็จ ตัวมาตรฐาน (Standard 3.1) วางกรอบไว้ว่าผู้ตรวจจะรับทำเฉพาะบริการที่ตัวเอง “มีทักษะอยู่แล้ว หรือพัฒนาขึ้นมาได้เท่านั้น” จำแค่เจตนาพอ ไม่ต้องท่องเลข

แต่กับดักตัวเบิ้มของหัวข้อนี้อยู่ที่คำว่า ใคร

เพราะข้อสอบชอบสลับสับขาให้เราสับสนระหว่าง “ผู้ตรวจแต่ละคน” กับ “กองผู้ตรวจการทั้งกอง” (the internal audit function) อยู่เรื่อย

  • ผู้ตรวจแต่ละคน — ต้องมีแค่ทักษะที่จำเป็นสำหรับงานที่ได้รับมอบหมายให้ตัวเอง ไม่จำเป็นต้องเก่งทุกศาสตร์
  • กองทั้งกอง — ต้องมี หรือจัดหามาให้ได้ ซึ่งความสามารถทั้งหมดที่งานต้องใช้ รวมกันแล้วต้องครบ

มองมุมเถ้าแก่ก่อน — เจ้าของกิจการจ้างกองผู้ตรวจการมาก็เพื่อให้ “ตาแทนตัวเอง” ทั่วทั้งอาณาจักร ทีนี้ถ้าไปยึดว่าทุกคนในกองต้องเป็นเซียนทุกเรื่อง ก็คงไม่ต้องจ้างใครได้เลย เพราะไม่มีมนุษย์คนไหนเก่งทั้งบัญชี ทั้ง IT ทั้งวิศวกรรม ทั้งกฎหมาย ในคนเดียวหรอก มาตรฐานเลยตั้งให้วัดที่ “กองรวมกัน” ต่างหาก คนหนึ่งแข็งบัญชี อีกคนแข็ง IT มารวมทีมกันแล้วครอบคลุมงานได้ก็พอ

มองมุมคนสอบ — พอเห็นตัวเลือกที่มีคำ “แข็งๆ” อย่าง ALL / every / all disciplines นี่ให้สงสัยไว้ก่อนเลย

⚠️ กับดัก: ตัวเลือกทำนอง “ผู้ตรวจทุกคนต้องเชี่ยวชาญทุก competency” หรือ “ต้อง qualified ในทุกสาขาวิชา” — ผิด เพราะมาตรฐานวัดที่กองรวมกัน ไม่ใช่รายคน กลับกัน ตัวเลือกที่บอกว่า “จ้างวิศวกรมาทั้งที่เขาไม่รู้เรื่องมาตรฐานการตรวจสอบเลย เพราะคนอื่นในกองมีความรู้ตรงนั้นอยู่แล้ว” — อันนี้ถูก ไม่ถือว่าละเมิด

แล้วถ้าเจอถามกลับด้าน — “ข้อไหน ไม่ ส่งเสริม competency” หรือ “ข้อไหนเป็นข้อเสีย” — คำตอบที่ต้องเลือกคือข้อที่ทำให้ทักษะรวมของกอง แคบลง อย่างเช่นการบังคับให้ผู้ตรวจทุกคนต้องถือใบรับรองแบบเดียวกัน ฟังดูดีนะ แต่จริงๆ มันไปจำกัดขอบเขตบริการที่กองทำได้ให้แคบลง

ขาดทักษะแล้วต้องทำยังไง — หาผู้เชี่ยวชาญ ไม่ใช่ลุยเอง#

กลับมาที่โรงงาน สมมติงานตรวจโครงการก่อสร้างนี้มันอยู่ใน scope แล้ว สภาอยากได้ ไม่ใช่งานที่จะปัดตกได้ แต่กองก็ดันไม่มีทักษะวิศวกรรม — ทางออกที่ the Standards รับรองมีทางเดียว: จัดหาความสามารถจากภายนอกเข้ามาเสริม

พูดชัดๆ คือ obtain competent advice — จ้าง external service provider (ESP), ทำ cosourcing, หรือดึง consultant ที่เก่งด้านนั้นมาช่วย เช่น จ้างวิศวกรที่ปรึกษามาเทียบวัสดุกับแบบ หรือขออนุมัติสภาเพื่อดึงผู้เชี่ยวชาญด้านความปลอดภัยมาร่วม

⚠️ กับดัก: ข้อสอบชอบวางตัวเลือก “รับงานแล้วเริ่มลุยเลยเพราะเป็นงานความเสี่ยงสูง” — ฟังดูขยันดีนะ แต่ผิดเต็มๆ เพราะเริ่มทำทั้งที่ไม่มีความสามารถ เท่ากับละเมิดหลัก competency ตรงๆ ส่วนตัวเลือกที่ปัดตกงาน เลื่อนออกไป หรือตัดส่วนที่ยากออกจาก scope ก็ผิดเหมือนกัน เพราะเป็นการหนีหน้าที่ทั้งที่งานอยู่ใน scope และการโยนให้พนักงานของหน่วยที่ถูกตรวจ (activity under review) ทำแทน หรือรับ representation ของเขามาดื้อๆ ยิ่งพัง เพราะทำลายความเป็นอิสระและได้หลักฐานที่ไม่พอ

ถ้าเจอโจทย์กลับด้าน “การตอบสนองแบบไหน จะละเมิด the Standards” — คราวนี้ “รับแล้วลุยเลย” นี่แหละกลายเป็นคำตอบที่ต้องเลือก

มุมเถ้าแก่ตรงนี้เข้าใจง่ายมาก — เจ้าของยอมจ่ายค่าจ้างวิศวกรที่ปรึกษาเพิ่ม ยังดีกว่าปล่อยให้คนที่อ่านแบบไม่ออกไปตรวจแล้วเซ็นรับรองว่า “โครงการโอเค” ทั้งที่จริงๆ วัสดุถูกลดสเปคไปครึ่งหนึ่ง เงินที่ประหยัดจากการไม่จ้างผู้เชี่ยวชาญ เทียบไม่ได้เลยกับความเสียหายถ้าคลังถล่มขึ้นมาทีหลัง

Competency ไม่ใช่ข้ออื่น — อย่าสับหลักกัน#

จรรยาบรรณมี 5 ข้อ และข้อสอบก็ชอบเอาประโยคของหลักหนึ่งมาแปะป้ายว่าเป็นอีกหลักหนึ่ง คอยดูว่าเราจะแยกออกไหม competency มันพูดถึงเรื่องเดียวคือ “มีทักษะพอไหม และพัฒนาตัวเองต่อเนื่องไหม” — แค่นั้นเลย

⚠️ กับดัก: ประโยคพวกนี้ ฟังดูดีทั้งนั้น แต่ไม่ใช่ competency:

  • “ทำงานด้วยความซื่อสัตย์และกล้าหาญเชิงวิชาชีพ” → นั่นคือ integrity
  • “เปิดเผยข้อเท็จจริงสำคัญทุกอย่างที่อาจบิดเบือนการรายงาน” → นั่นคือ objectivity
  • “ระมัดระวังในการใช้และปกป้องข้อมูล” → นั่นคือ confidentiality

การละเมิด competency ที่แท้จริงคือข้อทำนอง “ผู้ตรวจทำ CPE ที่จำเป็นต่องานไม่ครบ” หรือ “ไปสอบสวนผู้ต้องสงสัยยักยอกเงินทั้งที่ไม่มีทักษะสอบสวน” ส่วนการรับของกำนัลคือเรื่อง objectivity การซื้อขายหุ้นจากข้อมูลวงในคือเรื่อง confidentiality — คนละหลักกันหมด

พูดถึง CPE แล้วขอแทรกไว้ตรงนี้เลย — การพัฒนาตัวเองต่อเนื่องนี่เป็นส่วนหนึ่งของ competency เต็มๆ ตัว the Standards มีหลักย่อยเรื่องการพัฒนาวิชาชีพต่อเนื่อง (continuing professional development) ที่บอกว่าผู้ตรวจต้องอัปเดตทักษะตลอด ทั้งเรียนรู้ด้วยตัวเอง ฝึกงานจริง หมุนเวียนงาน ไปจนถึง continuing professional education (CPE) ที่หลายใบรับรองบังคับชั่วโมงขั้นต่ำต่อปี รวมถึงชั่วโมงจริยธรรมด้วย — จำแค่แนวคิดว่า “ต้องเติมความรู้ตลอด” พอ ไม่ต้องไปท่องจำนวนชั่วโมง

สื่อสารก็เป็น competency — กระชับ ตรงประเด็น ชนะเสมอ#

มีอีกมุมที่หลายคนลืมไปว่ามันคือ competency ด้วย — การสื่อสาร ตัวมาตรฐานบอกชัดว่าการสื่อสารที่ดีต้องถูกต้อง ชัดเจน กระชับ และเหมาะกับผู้ฟัง ทั้งรายงานที่เขียน (ใช้ภาษาคน เน้น key findings กับข้อเสนอแนะที่ทำได้จริง) และการนำเสนอปากเปล่า (จัดโครงให้ดี ชูความเสี่ยงหลักก่อน)

⚠️ กับดัก: พอถามเรื่องการสื่อสาร ข้อสอบจะล่อด้วยตัวเลือกทำนอง “ครอบคลุมทุกแง่มุม ทุก background ทุกรายละเอียด” — ผิด เพราะขัดหลักความกระชับ ท่วมผู้ฟัง หรือ “ใช้ศัพท์เทคนิคเยอะๆ ลงรายละเอียดลึกๆ เพื่อโชว์ความเชี่ยวชาญ” — ผิด เพราะบังสารสำคัญจากคนที่ไม่ใช่ผู้เชี่ยวชาญ หรือ “อ่านรายงาน/สไลด์ให้ฟังทีละบรรทัด” — ผิด เพราะไม่ดึงความสนใจ คำตอบที่ถูกเสมอคือ ชัด กระชับ จัดระเบียบดี ชู finding ก่อน และเวลาจะแก้ปัญหาการสื่อสารของทีม คำตอบคือ ฝึกอบรมทักษะการสื่อสาร ส่วนตอนคัดคนเข้าทีม ตัวทำนายที่ดีที่สุดคือ “ความสามารถในการเรียบเรียงและถ่ายทอดความคิด” ไม่ใช่เกรดสวยหรือเข้ากับคนง่าย

Due Professional Care — ระวังเยี่ยงมืออาชีพ ไม่ใช่การันตีสมบูรณ์แบบ#

ข้ามมา Principle 4 Exercise Due Professional Care ซึ่งเป็นหลักที่คนเข้าใจผิดกันง่ายที่สุด และข้อสอบก็ขยี้จุดนี้หนักที่สุดด้วย

หลักนี้บอกว่าผู้ตรวจต้องวางแผนและทำงานด้วยความระมัดระวัง ใช้ดุลยพินิจ และคิดวิเคราะห์อย่างที่มืออาชีพฝีมือดีพึงมี แต่ไม่ได้คาดหวังให้สมบูรณ์แบบนะ

จุดนี้แหละที่พลิกเป็นกับดัก เพราะคำว่า “ระวังเยี่ยงมืออาชีพ” คนมักไปแปลผิดเป็น “ต้องเจอทุกอย่าง ต้องการันตีได้”

⚠️ กับดัก: ตัวเลือกไหนที่สัญญาคำแรงๆ อย่าง absolute assurance / all / certain / guarantee / infallible — ผิดหมด เช่น “รับรอง senior management ว่าไม่มีการทุจริตหลงเหลืออยู่เลยเพราะ control แข็งแรง” → ขาด due care เพราะให้ความเชื่อมั่นแบบสมบูรณ์ไม่ได้ ทำได้แค่ความเชื่อมั่นแบบสมเหตุสมผล (reasonable assurance) หรือ “ตรวจทุกรายการอย่างละเอียดในทุกงาน” → ไม่จำเป็น ใช้การสุ่มตัวอย่างในขอบเขตที่สมเหตุสมผลก็พอ

มุมเถ้าแก่ — เจ้าของที่ฉลาดจะไม่ไปคาดหวังให้ผู้ตรวจการันตีว่า “อาณาจักรสะอาด 100% ไม่มีรูรั่วเลย” เพราะรู้ดีว่าไม่มีใครทำได้ในโลกจริง สิ่งที่เจ้าของต้องการจริงๆ คือ “มีคนที่ระวังตัวเยี่ยงมืออาชีพ ดูให้ครบตามเหตุอันควร” ต่างหาก กลับกัน ผู้ตรวจที่ดันไปรับปากเจ้าของว่า “การันตีเจอทุกอย่าง” นี่ก็กำลังก่อความเสี่ยงให้ตัวเองกับองค์กร เพราะพอมีเรื่องหลุดขึ้นมาทีหลัง คำรับปากนั้นแหละจะย้อนกลับมาทิ่มแทงเอา

มุมคนสอบต้องระวังกับดัก cross-angle — บางทีโจทย์ถามกลับด้านว่า “การกระทำใด ขาด due care” หรือ “ข้อใด ไม่จำเป็น” คราวนี้ตัวเลือกที่พูดถึง absolute/exhaustive กลายเป็นคำตอบที่ถูก และบางข้อจงใจใช้ประโยคปฏิเสธ เช่น “ผู้ตรวจต้อง ไม่ การันตีว่าความเสี่ยงสำคัญทุกตัวถูกระบุครบ” — ประโยคที่ฟังดูขัดใจนี้แหละคือคำตอบที่ถูก

เช็กลิสต์สิ่งที่ต้อง “พิจารณา”#

due care ไม่ใช่แค่คำสวยๆ ลอยๆ นะ ตัวมาตรฐาน (Standard 4.2) วางปัจจัยที่ผู้ตรวจต้อง พิจารณา ไว้ชัดเจนเลย ได้แก่ ความสำคัญและความซับซ้อนของเรื่อง (materiality/complexity), ต้นทุนเทียบกับประโยชน์ ที่จะได้, ความน่าจะเป็นของความผิดพลาด การทุจริต หรือการไม่ปฏิบัติตามกฎที่ร้ายแรง, ความเพียงพอของ governance การบริหารความเสี่ยง และ control, ไปจนถึงการใช้เทคโนโลยีช่วยวิเคราะห์

⚠️ กับดัก: ตัวเลือกที่บอก “ทำโดยไม่คำนึงถึงต้นทุน” (regardless of cost) → ผิด เพราะ cost vs benefit เป็นสิ่งที่ ต้อง พิจารณา หรือ “ประเมินทุกประเด็นรวมทั้งเรื่องที่ไม่มีนัยสำคัญ” → ผิด เพราะ materiality เป็นตัวกำหนดว่าจะลงแรงแค่ไหน ในทาง cross-angle ถ้าโจทย์ให้เลือกสิ่งที่ ควรตัดทิ้ง คำตอบคือการตรวจแบบละเอียดยิบทุก control ของเงินสดย่อย เพราะประโยชน์ที่ได้ไม่คุ้มต้นทุน

จุดที่ลึกอีกนิดคือ materiality มันยืดหยุ่นตามบริบท — เรื่องที่ดูไม่มีนัยสำคัญ อาจต้อง รวม เข้าไปตรวจก็ได้ ถ้าผลกระทบร้ายแรงมันมีแนวโน้มจะเกิด กลับกัน เรื่องที่ดูมีนัยสำคัญ อาจ ตัด ออกได้ ถ้าผลกระทบร้ายแรงแทบเป็นไปไม่ได้ และความเสี่ยงตัวหนึ่งอาจสำคัญในระดับงานตรวจหรือหน่วยที่ถูกตรวจ แต่ไม่สำคัญในระดับทั้งองค์กรก็ได้เหมือนกัน

Professional Skepticism — สงสัยไว้ก่อน ยืนยันจากหลายแหล่ง#

ลูกน้องคนสำคัญของ due care คือ professional skepticism (Standard 4.3) — ความสงสัยเชิงวิชาชีพ ที่ข้อสอบชอบดึงออกมาถามเดี่ยวๆ

หัวใจคือ “จิตใจช่างสงสัย + ยืนยันข้อมูลกับหลายแหล่งที่เป็นอิสระต่อกัน” ผู้ตรวจต้องมองข้อมูลด้วยสายตาตั้งคำถามไว้เสมอ ไม่ใช่เชื่อเพราะความไว้วางใจ แต่เชื่อเพราะหลักฐาน

⚠️ กับดัก: ตัวเลือกยอดฮิตที่ผิดคือ “รับข้อมูลไว้ถ้ามันสอดคล้องกับบันทึกภายใน/แนวโน้มในอดีต” → นี่คือ confirmation bias ไม่ใช่ skepticism หรือ “สมมติว่า control ยังได้ผลดีอยู่ เพราะที่ผ่านมามันเคยดี” → ผิด เพราะมองข้ามความเสี่ยงที่เพิ่งเกิด หรือ “เลือกดูเฉพาะหลักฐานที่สนับสนุนสมมติฐานตั้งต้น” → ตำรา confirmation bias ชัดๆ

มีตัวเลือก near-miss ที่ล่อเก่งมาก — “ดูชื่อเสียงของแหล่งข้อมูล แล้วเทียบกับแหล่งอิสระ หนึ่ง แหล่ง” อันนี้ฟังดูดีนะ แต่มันแพ้ให้กับ “ยืนยันกับ หลาย แหล่งอิสระ พร้อมตั้งคำถามกับความไม่สอดคล้อง” ทุกที จำหลักไว้เลยว่าคำตอบที่ดีที่สุดต้องทำ สองอย่างพร้อมกัน — ตั้งคำถามอย่างเป็นกลาง และ ยืนยันข้ามหลายแหล่ง ส่วนกรณี self-review การแก้คือมองด้วยมุมใหม่ที่สดๆ แล้วหาการยืนยันจากภายนอกระหว่างทำ ไม่ใช่ไปเทียบเอาทีหลัง

มุมเถ้าแก่ — ลองนึกภาพผู้จัดการสาขาส่งรายงานยอดขายที่ “สวยเป๊ะตรงเป้าทุกเดือน” มา ผู้ตรวจที่มี skepticism จะไม่ปลื้มแล้วผ่านให้ แต่จะเอะใจว่า “เอ๊ะ สวยเกินจริงรึเปล่า” แล้วไปขอดูหลักฐานจากหลายทาง เจ้าของกิจการก็อยากได้ผู้ตรวจแบบนี้แหละ เพราะคนที่เชื่อทุกอย่างที่หน้างานป้อนให้ ก็ไม่ต่างอะไรกับไม่มีผู้ตรวจเลย

ตื่นตัวต่อความผิดปกติเสมอ อย่าปักใจเชื่อ#

due care ยังรวมถึงการ ตื่นตัวต่อความผิดปกติตลอดเวลา — พิจารณาความน่าจะเป็นของความผิดพลาด การทุจริต และการไม่ปฏิบัติตามกฎ ในทุกช่วงของงาน แล้วลงไปสืบเมื่อเจอสิ่งที่ดูแปลก

⚠️ กับดัก: ตัวเลือก “ใช่ ระวังเพียงพอแล้ว เพราะผู้ตรวจไว้ใจเสมียนคนนั้น” หรือ “เพราะจดบันทึกลง workpaper ครบ” → ผิด เพราะเงินสดมีความเสี่ยงในตัวสูง ต้องมี segregation of duties ไม่ว่าคนคนนั้นจะดูน่าเชื่อถือแค่ไหน หรือ “โปรแกรมงานถูกอนุมัติมาแล้ว เลยไม่ต้องทดสอบเพิ่ม” → ผิด เพราะ work program ต้องปรับตามสถานการณ์ที่เปลี่ยน และ “เอกสารครบทุกอย่าง” อย่างเดียวก็ยังไม่พิสูจน์ว่ามี due care

อีกจุดที่ข้อสอบชอบดัก — พอเจอผลวิเคราะห์ที่หลุดกรอบผิดปกติ ปฏิกิริยาที่ถูกคือ สืบและอธิบายให้ได้ก่อน ไม่ใช่กระโดดไปประกาศทันทีว่า “เจอทุจริต แจ้ง CAE เลย” และก็ไม่ใช่ “ปรับกรอบให้เข้ากับตัวเลขของหน่วยที่ถูกตรวจ” เพื่อกลบความผิดปกติไปด้วย

Confidentiality — รักษาความลับ: รู้จากงาน เอาไปใช้ผิด = ผิด#

หลักสุดท้าย Principle 5 Maintain Confidentiality — ผู้ตรวจสอบภายในต้องใช้และปกป้องข้อมูลอย่างเหมาะสม

จุดตั้งต้นที่ต้องเข้าใจ — เพราะงานตรวจมันต้องเข้าถึงข้อมูลได้เต็มที่ ผู้ตรวจเลยเห็นทั้งข้อมูลลับ ข้อมูลเชิงกลยุทธ์ ข้อมูลส่วนบุคคล ตั้งแต่เอกสารกระดาษ ไฟล์ดิจิทัล ไปจนถึงบทสนทนาในห้องประชุม พอเข้าถึงได้กว้างขนาดนี้ ก็มาพร้อมหน้าที่ที่หนักตามไปด้วย — ใช้ข้อมูลเพื่องานเท่านั้น แล้วก็ปกป้องไม่ให้รั่วทั้งในและนอกองค์กร

”ไม่ได้อะไรเลย” ไม่ใช่ข้อแก้ตัว#

กับดักที่โหดที่สุดของหัวข้อนี้เลย — การเอาข้อมูลที่รู้จากงานไปใช้ผิด ถือว่าผิด ถึงจะไม่ได้ประโยชน์อะไรเลย และเจตนาบริสุทธิ์ก็ตาม

⚠️ กับดัก: ข้อสอบชอบแปะประโยค “ผู้ตรวจไม่ได้ประโยชน์ส่วนตัวเลย” หรือ “แค่ซื่อสัตย์กับเพื่อน” เพื่อให้การรั่วข้อมูลที่ชัดๆ ดูมีเหตุผลน่าให้อภัย — แต่ยังผิดอยู่ดี เช่น “เอาเรื่องที่ CFO เพื่อนกำลังจะถูกปลดไปบอกต่อ อ้างว่าไม่ได้อะไรและแค่ซื่อสัตย์” → ละเมิด เพราะใช้ข้อมูลอย่างไม่รอบคอบ หรือ “เปิดเผยความลับทางการค้าให้ญาติ ทั้งที่ไม่มีใครได้ประโยชน์” → ยังละเมิด และการซื้อหุ้นเพิ่มหลังรู้เรื่องสินค้าใหม่ปฏิวัติวงการ หรือซื้อหุ้นบริษัทเป้าหมายหลังได้ยินผู้บริหารคุยเรื่องควบรวม หรือซื้อหุ้นหลังเห็นร่างงบรายไตรมาส → ละเมิดทั้งหมด นี่คือ insider trading ชัดๆ

มุมเถ้าแก่ตรงนี้เข้ากระดูกดำ — เจ้าของเปิดบ้านให้ผู้ตรวจเข้าถึงความลับทุกซอกทุกมุมก็เพราะเชื่อใจว่าข้อมูลจะไม่รั่วออกไป ทีนี้ถ้าผู้ตรวจดันเอาความลับทางการค้าไปให้คู่แข่ง หรือเอาข้อมูลวงในไปเล่นหุ้น ความไว้ใจนั้นก็พังทันที แล้วตัวองค์กรเองก็เสี่ยงทั้งชื่อเสียงและค่าปรับตามกฎหมายไปด้วย

ในทาง cross-angle ถ้าโจทย์ถามว่า “การกระทำใด ถูกจริยธรรม” คำตอบคือผู้ตรวจที่ ปฏิเสธ ที่จะปล่อยข้อมูลออกไป — แม้กระทั่งกับญาติที่เป็นเจ้าของร่วมขององค์กร

เปิดเผยได้ ถ้ามีอำนาจอนุมัติ หรือกฎหมายบังคับ#

แต่ระวังนะ อย่าเหวี่ยงไปสุดอีกทางว่า “ห้ามเปิดเผยอะไรเด็ดขาด” เพราะจริงๆ การเปิดเผยข้อมูลมัน ทำได้ ในบางเงื่อนไข — คือเมื่อมีอำนาจอนุมัติที่เหมาะสม หรือมีข้อผูกพันทางกฎหมาย/วิชาชีพ

⚠️ กับดัก: ข้อสอบชอบแต่งการเปิดเผยที่ถูกต้องให้ดูน่ากลัวเหมือนการรั่วข้อมูล เช่น “เปิดเผยข้อมูลลับตามคำสั่งศาล” → ทำได้ ไม่ใช่การละเมิด เพราะเป็นข้อผูกพันทางกฎหมาย หรือ “ปล่อยข้อมูลที่ CFO/สภาอนุมัติแล้วให้เจ้าหน้าที่สินเชื่อของธนาคาร” → ทำได้ เพราะมีอำนาจอนุมัติที่เหมาะสม ในทางกลับกัน สิ่งที่ ละเมิด จริงคือการเอา finding ที่ละเอียดอ่อนไปคุยกับ CAE ขององค์กรอื่น (บุคคลที่ไม่มีอำนาจรับข้อมูล) หรือปล่อยข้อมูลออกไปภายนอกโดยไม่ผ่านการทบทวนจากผู้ที่ถูกกำหนดให้ทบทวน ส่วนการที่ผู้ตรวจปีหนึ่งขอความช่วยเหลือเรื่อง workpaper จากผู้ตรวจปีสามในงานเดียวกัน → ไม่ใช่การละเมิด เพราะเป็นทีมงานเดียวกัน

หลักจำง่ายๆ คือ ลองเอาการเปิดเผยแต่ละครั้งมาทดสอบว่ามันผ่าน “ประตู” ไหม — ถ้ามี ข้อผูกพันทางกฎหมาย (คำสั่งศาล) หรือ อำนาจอนุมัติที่เหมาะสม (ผู้บริหาร/CFO/สภาอนุมัติ) ก็ผ่าน ทำได้ แต่ถ้า ไม่มีทั้งอำนาจและข้อผูกพัน — เปิดเผยไปเมื่อไหร่คือละเมิด

control ที่ดีที่สุด — เข้ารหัส + จำกัดสิทธิ์ + ทำตามนโยบาย ครบชุด#

พอถามเรื่องการปกป้องข้อมูลเชิงเทคนิค ข้อสอบจะให้เลือก control ที่ดีที่สุด ซึ่งอันนี้มีสูตรตายตัวเลย — ตัวเลือกที่รวมหลายชั้นป้องกันไว้ด้วยกันชนะเสมอ

⚠️ กับดัก: control ชั้นเดียวแพ้เสมอ เช่น “ตั้งรหัสผ่านอย่างเดียว” หรือ “ให้เข้าถึงได้เฉพาะในแผนก” → ไม่พอถ้าไม่มีการเข้ารหัส หรือ “ใช้เครื่องมือมาตรฐานทั่วไป / shared drive กลาง / database รวมเพื่อความสะดวก” → เอาความสะดวกมาก่อนความลับ ผิด หรือ “server ปลอดภัยมี authentication แต่ไม่มีการเข้ารหัส ไม่มีนโยบายเก็บรักษาข้อมูล” → ไม่ครบ แพ้ตัวเลือกที่เต็มกว่า และ “สรุปข้อมูลเพื่อกระจายให้ทั่วถึง” หรือ “แชร์เพื่อขอ feedback” → ขยายการเข้าถึงให้กว้างขึ้น ผิด

คำตอบที่ถูกคือข้อที่รวมชั้นป้องกันมากที่สุดไว้ด้วยกัน — เข้ารหัสข้อมูล + จำกัดการเข้าถึงเฉพาะผู้ที่ได้รับอนุญาต + ปฏิบัติตามนโยบายองค์กรและกฎหมาย (บวกกำหนดระยะเวลาเก็บรักษาถ้ามีให้เลือก) และสำหรับการแชร์ให้บุคคลภายนอก คำตอบที่ชนะคือ “เปิดเผยเฉพาะข้อมูลที่จำเป็นเท่านั้น ภายใต้ข้อตกลงรักษาความลับ และช่องทางที่ปลอดภัย ตามนโยบายและกฎหมาย”

ตารางกับดักรวม#

สถานการณ์คำตอบหลอกคำตอบจริง
ใครต้องมีความสามารถครบผู้ตรวจทุกคนต้องเก่งทุกสาขา (ALL)กองรวมกันต้องครบ ผู้ตรวจแต่ละคนมีแค่ทักษะสำหรับงานของตน
งานอยู่ใน scope แต่กองขาดทักษะรับแล้วลุยเลยเพราะเสี่ยงสูง / ปัดตก / ตัด scopeจัดหา ESP · cosource · consultant มาเสริม
บังคับผู้ตรวจทุกคนถือใบรับรองเดียวกันส่งเสริม competencyเป็นข้อเสีย เพราะจำกัดขอบเขตบริการของกอง
”ทำงานด้วยความซื่อสัตย์”competencyintegrity (คนละหลัก)
การสื่อสารที่ดีครอบคลุมทุกรายละเอียด / ใช้ศัพท์เยอะโชว์ภูมิ / อ่านให้ฟังชัด กระชับ ชู finding ก่อน เหมาะกับผู้ฟัง
ระดับความเชื่อมั่นที่ให้ได้absolute assurance / เจอทุจริตทุกตัวแน่นอนreasonable assurance เท่านั้น
ปริมาณการตรวจตรวจทุกรายการละเอียดยิบทุกงานสุ่มตัวอย่างในขอบเขตที่สมเหตุสมผล
การพิจารณาต้นทุนทำโดยไม่คำนึงถึงต้นทุนชั่งต้นทุนเทียบประโยชน์เสมอ (cost vs benefit)
เจอข้อมูลใหม่ต้องยืนยันยังไงรับไว้เพราะตรงกับบันทึกภายใน/แนวโน้มเดิมยืนยันกับหลายแหล่งอิสระ + ตั้งคำถามความไม่สอดคล้อง
เสมียนดูน่าเชื่อถือ ไม่มี segregationระวังพอแล้วเพราะไว้ใจ/จดครบยังขาด due care เงินสดเสี่ยงสูงต้องแยกหน้าที่
เอาข้อมูลจากงานไปใช้ ไม่ได้ประโยชน์ไม่ผิดเพราะไม่ได้อะไร/เจตนาดียังละเมิด — ใช้ข้อมูลอย่างไม่เหมาะสม
เปิดเผยตามคำสั่งศาล / ผู้บริหารอนุมัติเป็นการรั่วข้อมูล ละเมิดทำได้ เพราะมีข้อผูกพันกฎหมาย/อำนาจอนุมัติ
control ปกป้องข้อมูลที่ดีที่สุดรหัสผ่านอย่างเดียว / shared drive สะดวกเข้ารหัส + จำกัดสิทธิ์ + ทำตามนโยบายและกฎหมาย ครบชุด

สิ่งที่จดสำหรับวันสอบ#

  • Competency วัดที่ “ใคร” — เจอ ALL/every/all disciplines กับผู้ตรวจรายคน ให้สงสัยว่าผิด กองรวมกันครบต่างหากคือหลัก
  • ขาดทักษะ = obtain competent advice ไม่ใช่รับแล้วลุย ไม่ใช่ปัดตก ไม่ใช่ตัด scope ไม่ใช่โยนให้หน่วยที่ถูกตรวจ
  • แยกหลักให้ขาด — competency = ทักษะ/พัฒนาตัวเอง (CPE) · ซื่อสัตย์ = integrity · เปิดเผยข้อเท็จจริง = objectivity · ปกป้องข้อมูล = confidentiality
  • Due care = reasonable ไม่ใช่ absolute — เจอ guarantee/all/certain/infallible ให้ตัดทิ้ง (ยกเว้นโจทย์ถามว่าอะไร “ขาด due care”)
  • Standard 4.2 ให้ “พิจารณา” materiality · cost vs benefit · ความน่าจะเป็นของ error/fraud · governance · เทคโนโลยี
  • Skepticism = ตั้งคำถาม + ยืนยันหลายแหล่งอิสระ แหล่งเดียวคือ near-miss / รับเพราะตรงกับบันทึกภายในคือ confirmation bias
  • ตื่นตัวเสมอ — ความไว้ใจ/โปรแกรมอนุมัติแล้ว/จดครบ ไม่ใช่ข้อแก้ตัวว่ามี due care
  • Confidentiality: ไม่ได้ประโยชน์ก็ยังผิด ถ้าใช้ข้อมูลจากงานอย่างไม่เหมาะสม
  • เปิดเผยได้เมื่อมีประตู — คำสั่งศาล (กฎหมาย) หรือ อำนาจอนุมัติที่เหมาะสม เท่านั้น
  • control ที่ดีที่สุดคือชุดรวม — เข้ารหัส + จำกัดสิทธิ์ + ตามนโยบาย/กฎหมาย ชั้นเดียวแพ้เสมอ

จรรยาบรรณครบห้าข้อแล้ว รู้แล้วว่าผู้ตรวจต้องยืนตัวยังไง ทีนี้ต้องถอยออกมามองภาพใหญ่ว่าใครเป็นเจ้านายตัวจริงของกอง และองค์กรทั้งก้อนกำกับดูแลตัวเองยังไง ตอนหน้าเปิดเรื่อง governance กัน ตอนถัดไป: governance — ใครกำกับใคร ครับ

อ้างอิง: Gleim CIA Review (2026), Part 1 · IIA Global Internal Audit Standards (2024)