1436 คำ
7 นาที
CIA Series ตอนที่ 06 : P1 - Governance: สภา ไม่ใช่ผู้จัดการ
สารบัญ

ลองนึกภาพอาณาจักรเถ้าแก่ที่เราเดินดูกันมาหลายตอนแล้ว วันนี้เราเดินขึ้นบันไดไปชั้นบนสุด ชั้นที่มีห้องประชุมใหญ่ โต๊ะยาว เก้าอี้หนัง แล้วก็มีคำถามหนึ่งลอยอยู่กลางห้อง — ใครกันแน่คือ “เจ้านาย” ตัวจริงของกองผู้ตรวจการที่เราสร้างกันมาทั้งซีรีส์?

เถ้าแก่เจ้าของกิจการเหรอ? ก็ใช่แหละในความรู้สึก แต่พอโตมาถึงจุดหนึ่ง เจ้าของก็ไม่ได้นั่งสั่งงานเองทุกวันแล้ว มีคนถือหุ้นหลายคน มีคณะกรรมการที่ประชุมกันเป็นรอบ มี CEO กับทีมผู้บริหารที่ลงมือทำจริงหน้างาน คำถามที่ตามมาคือ คนกลุ่มไหน “กำกับ” คนกลุ่มไหน “บริหาร” แล้วเส้นแบ่งมันอยู่ตรงไหนกันแน่?

เรื่องนี้แหละครับที่ Study Unit นี้เรียกว่า governance (การกำกับดูแลกิจการ) เอาตรงๆ มันคือหัวข้อที่ข้อสอบชอบเอาเส้นแบ่งพวกนี้มาสลับหลอกมากที่สุดเรื่องหนึ่ง ใครสั่ง ใครทำ ใครแค่ดู จำสามอันนี้ให้แม่น แล้วจะรอดไปได้ครึ่งบท

ตอนที่แล้วเราปิดจรรยาบรรณสามข้อสุดท้าย — competency (ทีมรวมกันเก่ง ขาดทักษะต้องหาผู้เชี่ยวชาญ ไม่ลุยเอง), due professional care (เชื่อมั่นสมเหตุสมผล ไม่การันตีเจอทุกอย่าง) และ confidentiality (ข้อมูลจากงานเอาไปใช้ส่วนตัวไม่ได้) จบเรื่องตัวผู้ตรวจแล้ว คราวนี้ถอยมามองทั้งองค์กร — ใครกำกับ ใครบริหาร แล้วกองเราไปยืนตรงไหนในภาพนั้น

โครงของบท#

  • governance คืออะไร — นิยามตาม the Standards และ OECD กับสององค์ประกอบใหญ่ที่ต้องแยกให้ออก
  • ใครทำหน้าที่อะไร — board กำกับ, senior management บริหาร, risk owners ดูแลความเสี่ยงหน้างาน, ผู้ตรวจแค่ประเมิน
  • กลไกภายใน vs ภายนอก — อะไรคือกลไกในบ้าน อะไรคือกฎของรัฐ และตัวหลอกที่ชอบโผล่
  • วัฒนธรรมองค์กร — culture, ethical culture, code of conduct กับใครเป็นเจ้าของ
  • บทบาทผู้ตรวจสอบภายในใน governance — ประเมิน ไม่ใช่ทำเอง และเปลี่ยนตามความ “แก่” ของระบบ

Governance คืออะไร — และห้ามสับกับ risk management#

เอาเป็นภาษาคนก่อน governance คือ “โครงสร้างและกระบวนการ” ที่ทำให้อาณาจักรเดินไปในทิศทางที่ตั้งใจ มีคนคอยกำหนดเป้า มีคนคอยเฝ้าดูว่าไปถูกทางไหม แล้วก็มีคนรับผิดชอบเวลาผิดพลาด

ทีนี้มาดูนิยามที่ข้อสอบใช้เป๊ะ ตาม the Standards governance คือ การผสมผสานของกระบวนการและโครงสร้างที่ board นำมาใช้เพื่อ inform, direct, manage และ monitor กิจกรรมขององค์กร ไปสู่การบรรลุวัตถุประสงค์ สังเกตคำกริยาสี่ตัวนั้นให้ดี แจ้ง กำหนดทิศทาง จัดการ ติดตาม แล้วสังเกตด้วยว่า “เจ้าของ” ของนิยามนี้คือ board

อีกนิยามที่ข้อสอบชอบหยิบมาคือของ OECD ที่มองว่า governance คือ ชุดของความสัมพันธ์ ระหว่างฝ่ายบริหาร board ผู้ถือหุ้น และผู้มีส่วนได้เสียอื่นๆ (stakeholders) พูดง่ายๆ มันไม่ใช่กล่องเดี่ยวๆ แต่เป็นการจัดความสัมพันธ์ว่าใครตอบใคร

มุมเถ้าแก่/สภา — ทำไมต้องมีของแบบนี้? ก็เพราะพอกิจการโตจนเจ้าของตาไปไม่ทั่ว governance คือระบบที่ทำให้เจ้าของ (และผู้ถือหุ้นทุกคน) มั่นใจได้ว่าคนที่ลงมือทำแทนเรา เขาทำไปในกรอบที่เรายอมรับได้ ไม่ใช่ปล่อยมือแล้วบ้านแตก governance ดี = นอนหลับได้ ตัดสินใจได้ดีขึ้น แล้วก็มีคนรับผิดชอบเวลาพลาด

มุมผู้ตรวจ (คนสอบ) — ข้อสอบจะเอานิยามของ governance ไปวางปนกับนิยามอื่นที่หน้าตาคล้ายกันมาก แล้วให้เลือกว่าอันไหนคือ governance จริง ตัวหลอกคลาสสิคมีอยู่สามตัว:

  • ถ้าตัวเลือกพูดถึง “identify, assess, manage, control เหตุการณ์ต่างๆ เพื่อให้ได้ reasonable assurance” — นั่นคือนิยามของ risk management ไม่ใช่ governance
  • ถ้าพูดถึง “โครงสร้าง/กระบวนการที่ทำให้ IT สนับสนุนกลยุทธ์” — นั่นคือ IT governance (คนละตัว)
  • ถ้าพูดถึง “องค์กรระดับสูงสุดที่รับผิดชอบการกำกับ” — นั่นคือนิยามของ board ไม่ใช่ตัว governance เอง

⚠️ กับดัก: ประโยคที่ว่า “governance เป็นอิสระจากวัฒนธรรม” หรือ “governance แยกขาดจาก risk กับ control” — ผิดทั้งคู่ ในหนังสือย้ำชัดว่า governance, risk management และ control เกี่ยวพันกัน ไม่แยกขาด ตอบว่าเป็นอิสระเมื่อไหร่คือติดกับ

สององค์ประกอบที่ต้องแยกให้ขาด: strategic direction vs oversight#

governance มีสองส่วนใหญ่ ท่องคู่นี้ให้ติดปากเลยครับ เพราะข้อสอบชอบเอาของจากฝั่งหนึ่งไปแปะป้ายอีกฝั่ง

strategic direction คือฝั่ง “ตั้งค่า” — เป็นการกำหนดกรอบและเป้า มีสี่อย่าง: business model, วัตถุประสงค์รวม (overall objectives), แนวทางการรับความเสี่ยงรวมถึง risk appetite (ระดับความเสี่ยงที่องค์กรยอมรับได้), และ limits of organizational conduct (ขีดจำกัดของพฤติกรรมที่องค์กรยอมให้ทำ)

oversight คือฝั่ง “เฝ้าดู” — มีสองอย่าง: กิจกรรมบริหารความเสี่ยงที่ทำโดย senior management และ risk owners, กับกิจกรรมการให้ความเชื่อมั่น (assurance) ทั้งภายในและภายนอก

แล้วจำอีกอย่างที่ข้อสอบชอบถาม — ผู้ตรวจสอบภายในสนใจฝั่งไหนมากที่สุด? คำตอบคือ oversight เพราะ risk management กับ control มันไปเกาะอยู่ฝั่งนี้

⚠️ กับดัก: ตัวเลือกจะเอา “risk appetite” หรือ “overall objectives” หรือ “business model” ไปวางเป็น oversight — ผิด พวกนี้เป็น strategic direction ทั้งหมด กลับกัน ถ้าเอา “internal/external assurance” หรือ “risk management ที่ทำโดย risk owners” ไปวางเป็น strategic direction ก็ผิด พวกนี้เป็น oversight และระวังตัวหลอกที่พูดว่า “oversight รวม internal assurance แต่ไม่รวม external” — ผิด รวมทั้งสอง

ใครทำหน้าที่อะไร — สั่ง ทำ ดูแล ประเมิน#

นี่คือหัวใจของทั้งบท และเป็นจุดที่ข้อสอบทำเงินมากที่สุด กลับไปที่ห้องประชุมชั้นบนสุดกันอีกที แล้วแบ่งคนออกเป็นสี่กลุ่ม เจอโจทย์ทีไรถามตัวเองทุกครั้งว่าสิ่งที่มันบรรยายมาเป็น การกำหนดทิศทาง/กำกับ, การลงมือทำ, การดูแลความเสี่ยงหน้างาน, หรือแค่การประเมิน?

board (สภา / คณะกรรมการ) = สั่งและกำกับ ตาม the Standards board คือ “องค์กรระดับสูงสุดที่รับผิดชอบการกำกับ” อาจเป็นคณะกรรมการบริษัท audit committee คณะกรรมการมูลนิธิ อะไรก็ได้ที่เป็นผู้มีอำนาจสูงสุด และเวลาองค์กรมีหลายคณะ “board” หมายถึงกลุ่มที่ให้อำนาจกองผู้ตรวจการทำงาน (จำจุดนี้ไว้ มันโยงกับตราตั้งที่เราเล่ามาตั้งแต่ต้นซีรีส์) หน้าที่ของ board:

  • เลือกและถอดถอนผู้บริหารระดับสูง (officers)
  • ตัดสินใจเรื่องโครงสร้างทุน (capital structure — ส่วนผสมของหนี้กับทุน)
  • ริเริ่มการเปลี่ยนแปลงพื้นฐาน เช่น การควบรวมกิจการ (mergers)
  • กำหนดค่าตอบแทนผู้บริหาร (มักทำผ่าน compensation committee)
  • ประสานงานกิจกรรมการตรวจสอบ (มักทำผ่าน audit committee)
  • ระบุว่าใครคือ stakeholders และระบุผลลัพธ์ที่องค์กร “รับไม่ได้”

senior management = ลงมือบริหารประจำวัน ทำหน้าที่ governance ในระดับ day-to-day ปฏิบัติตามคำสั่งของ board ภายในกรอบที่กำหนด สิ่งที่เป็นของ management โดยเฉพาะ และข้อสอบชอบยกไปให้ board:

  • กำหนดว่า ที่ไหน (where) ที่ความเสี่ยงจะถูกจัดการ
  • กำหนดว่า ใคร (who) จะเป็น risk owners
  • กำหนดว่า อย่างไร (how) ที่ความเสี่ยงจะถูกจัดการ
  • วาง tone at the top (น้ำเสียง/ทัศนคติเรื่องความถูกต้องที่ส่งลงมาจากผู้นำระดับบน) และสร้างวัฒนธรรมองค์กร

risk owners = ดูแลความเสี่ยงหน้างานของตัวเอง เป็นผู้จัดการที่รับผิดชอบงานประจำวันเฉพาะด้าน หน้าที่คือคอยดูว่ากิจกรรมบริหารความเสี่ยงของตัวเองออกแบบมาดีพอไหม แล้วทำงานได้ตามที่ออกแบบไว้จริงหรือเปล่า รวมถึงตั้งกิจกรรมติดตามผลด้วย

internal audit function = ประเมินและช่วยปรับปรุง ไม่เป็นเจ้าของ ไม่ลงมือทำ governance ทำได้แค่ประเมินว่า governance ดีไหม แล้วเสนอแนะ

สรุปเป็นประโยคเดียวที่จำง่ายสุด — board สั่ง, ผู้บริหารทำ, risk owners ดูแลหน้างาน, ผู้ตรวจสอบแค่ประเมิน

มุมเถ้าแก่/สภา — ทำไมต้องแยกให้ชัดขนาดนี้? ก็เพราะถ้าเส้นมันเบลอ เวลาเกิดเรื่องจะชี้นิ้วไม่ถูกว่าใครรับผิดชอบ board ที่ลงไปทำเองก็ไม่เหลือใครมากำกับตัวมันเอง ส่วน management ที่ไปตั้งกฎกำกับตัวเองก็เหมือนให้คนคุมสอบออกข้อสอบให้ตัวเอง การแบ่งชั้นแบบนี้แหละที่ทำให้เกิด accountability (การรับผิดชอบที่ตรวจสอบได้) จริงๆ

มุมผู้ตรวจ (คนสอบ) — คำ trigger ในโจทย์คือคำที่บอก “ระดับความลงมือ” ถ้าเจอคำว่า determine who / where / how, tone at the top, องค์กรวัฒนธรรม → นั่นคือ senior management ถ้าเจอ select/remove officers, capital structure, mergers, set compensation, coordinate audit, ระบุ stakeholders → นั่นคือ board

⚠️ กับดัก: ข้อสอบชอบเอาหน้าที่ของ senior management (เช่น กำหนดว่าใครเป็น risk owners, จัดการความเสี่ยงที่ไหน/อย่างไร, วางวัฒนธรรม) ไปวางเป็นหน้าที่ของ board แล้วให้เลือก — อย่าหลง board ระบุ “ผลลัพธ์ที่รับไม่ได้” และ “ใครคือ stakeholders” ก็จริง แต่ ไม่ได้เป็นคนกำหนดว่าใครเป็น risk owner หรือจัดการความเสี่ยงยังไง อันนั้นเป็นงาน management

⚠️ กับดัก: อีกด้านหนึ่ง จะมีตัวหลอกว่า “risk owners คือ senior managers” — ผิด risk owners คือผู้จัดการงานประจำวันที่ถูก senior management แต่งตั้ง ขึ้นมา ไม่ใช่ตัว senior management เอง แล้วก็อย่าหลงตัวเลือกที่บอกว่า “ผู้ตรวจสอบภายในมีความรับผิดชอบต่อ governance มากกว่า board” — อันนี้ผิดแรง ผู้ตรวจแค่ประเมินและช่วยปรับปรุง ไม่มีวันเป็นเจ้าของ

กลไกภายใน vs ภายนอก — และตัวหลอกที่มาแบบไม่มีผล#

governance ขับเคลื่อนด้วยกลไกสองชนิด แยกด้วยคำถามเดียว — มันเกิดในบ้าน หรือมาจากรัฐ?

  • internal mechanisms (ในบ้าน) — กฎบัตรบริษัท (corporate charter), ข้อบังคับ (bylaws), board of directors, internal audit function, วัฒนธรรมเชิงจริยธรรม
  • external mechanisms (นอกบ้าน) — กฎหมาย ระเบียบข้อบังคับ และหน่วยงานกำกับของรัฐที่บังคับใช้กฎเหล่านั้น

จำไว้ว่า governance ใช้ ทั้งสอง เสมอ ไม่ใช่ภายในอย่างเดียว

⚠️ กับดัก: ข้อสอบชอบสลับป้าย — เรียก corporate charter หรือ bylaws ว่าเป็น “external” หรือเรียกกฎหมาย/หน่วยงานรัฐว่าเป็น “internal” — ผิดทั้งคู่ และมีตัวหลอกที่บอกว่า “governance เป็น internal แต่ไม่ external” — ผิด ใช้ทั้งสอง

⚠️ กับดัก: คำถามยอดฮิต “อะไรน้อยที่สุดที่มีอิทธิพลต่อ corporate governance?” คำตอบคือ external service providers (ผู้ให้บริการภายนอก) ไม่ใช่หน่วยงานกำกับของรัฐ ไม่ใช่ internal audit ไม่ใช่ charter/bylaws — สามอันหลังนี้ล้วนมีผลต่อ governance ทั้งนั้น ส่วนผู้ให้บริการภายนอกแค่มาเสริมงานผู้ตรวจเวลาทีมในบ้านทักษะไม่พอ ไม่ได้ไปกำหนดรูปร่าง governance กลับกัน ถ้าถามว่าอะไร “มีอิทธิพลมากที่สุด” คำตอบมักเป็น internal audit function

หลักการ governance กับ stakeholders#

หนังสือไล่หลักการ governance ที่ดีไว้ยาว แต่ที่ข้อสอบชอบเอาฉากมาให้แล้วถามว่า “ตรงกับหลักการไหน” มีแพตเทิร์นชัดเจน ลองจับคู่:

  • ผู้ตรวจรายงานต่อ audit committee ที่เป็นอิสระ → หลักการ effective interaction ระหว่าง board ฝ่ายบริหาร และผู้ให้ความเชื่อมั่น
  • ทบทวนธุรกรรมกับบริษัทแม่/บริษัทลูก → หลักการ oversight of related-party transactions และความขัดแย้งทางผลประโยชน์
  • ผู้จัดการแต่ละคนเป็นเจ้าของแผนกของตัวเองชัดเจน → clear lines of responsibility (เส้นความรับผิดชอบที่ชัดและบังคับใช้จริง)
  • ค่าตอบแทนผูกกับค่านิยม/ผลงาน → หลักการเรื่อง compensation policies ที่ส่งเสริมพฤติกรรมที่เหมาะสม
  • เปิดเผยข้อมูลกันอย่างโปร่งใสเพื่อให้กำกับได้ → transparency (ตัวขับเคลื่อน accountability)

ส่วน stakeholders — ใครก็ตามที่ได้รับผลกระทบจากองค์กรนับหมด: ผู้ถือหุ้น พนักงาน ผู้ขาย/vendor ลูกค้า หน่วยงานกำกับ สถาบันการเงิน ผู้สอบบัญชีภายนอก แม้แต่เพื่อนบ้านของโรงงานก็นับ

⚠️ กับดัก: ตัวเลือกแบบ ”…เท่านั้น” ที่ตัดลูกค้า ผู้ขาย เพื่อนบ้าน หรือหน่วยงานกำกับออก — ระวัง คนที่ ไม่ค่อยนับ เป็น stakeholder คือคู่แข่ง กับเจ้าหนี้ของพนักงาน ส่วนเพื่อนบ้านของโรงงานนับ และเวลาถามหลักการที่ส่งเสริม accountability คำตอบคือ transparency ไม่ใช่ ความเป็นเอกเทศ/ลำดับชั้น/อำนาจเฉพาะตัว ที่มักถูกวางเป็นตัวหลอก

วัฒนธรรมองค์กร — ใครเป็นเจ้าของ ใครแค่ประเมิน#

governance ที่ดีจะสะท้อนวัฒนธรรมองค์กร (organizational culture) แล้วก็พึ่งวัฒนธรรมนี่แหละในการทำงานให้ได้ผลจริง วัฒนธรรมองค์กรคือชุดของทัศนคติ พฤติกรรม และความเข้าใจเรื่องความเสี่ยง ทั้งด้านบวกและลบ ที่มีผลต่อการตัดสินใจของคนในองค์กร แล้วก็สะท้อน mission (เป้าหมายหลัก) vision (สิ่งที่อยากไปให้ถึง) กับ core values (ความเชื่อว่าอะไรรับได้/รับไม่ได้)

ทำไมผู้ตรวจต้องสน? เพราะวัฒนธรรมส่งผลตรงไปที่ control environment (สภาพแวดล้อมการควบคุม — ทัศนคติและการกระทำของ board และฝ่ายบริหารต่อการควบคุม) ซึ่งเป็นฐานรากของ internal control ทั้งระบบ

ลองคิดดูนะ ถ้าองค์กรวัฒนธรรม risk aggressive (กล้าเสี่ยง) แนวโน้มคือ control จะหลวม แล้วผู้ตรวจมักจะประเมินความเสี่ยงของงานต่ำเกินจริง กลับกัน ถ้าวัฒนธรรม risk averse (เลี่ยงเสี่ยง) control จะเข้มมาก ผู้ตรวจก็มักจะประเมินความเสี่ยงสูงเกินจริง — สองภาพนี้แหละที่เป็น case คลาสสิคว่าทำไมต้องอ่านวัฒนธรรมให้ออกก่อนลงมือตรวจ

ใครเป็นเจ้าของวัฒนธรรม?senior management เป็นผู้รับผิดชอบหลักในการสร้างและรักษาวัฒนธรรมองค์กร ส่วน board ทำหน้าที่กำกับดูแล ethical climate (ไม่ใช่เจ้าของ)

ethical culture และ code of conduct#

ในวัฒนธรรมองค์กรมีก้อนสำคัญคือ ethical culture (วัฒนธรรมเชิงจริยธรรม) การตัดสินใจที่ดีในองค์กรควรเป็นแบบ inclusive คือเปิดรับมุมมองที่หลากหลาย จะได้มองเห็นและจัดการความเสี่ยงได้รอบด้าน แล้วเพราะการตัดสินใจมันกระจายอยู่ทั่วองค์กร ทุกคนก็เลยควรเป็น “ผู้สนับสนุนจริยธรรม” ไม่ว่าจะเป็นทางการหรือไม่

องค์กรออก code of conduct (ประมวลจรรยาบรรณ) และ vision statement เพื่อระบุ: ค่านิยมและวัตถุประสงค์ขององค์กร, พฤติกรรมที่คาดหวัง, และกลยุทธ์ในการรักษาวัฒนธรรมที่สอดคล้องกับความรับผิดชอบทางกฎหมายและจริยธรรม พูดง่ายๆ code บอก “พฤติกรรม” ไม่ใช่ “การควบคุม”

⚠️ กับดัก: ตัวเลือกที่บอกว่า code of conduct ทำหน้าที่ “ตั้งกิจกรรมติดตามผล (monitoring)” หรือ “ระบุความเสี่ยงหลัก (key risks)” หรือ “วัดผลงาน (measure performance)” หรือ “กำหนดหลักการ internal control” — ผิดหมด พวกนี้เป็นงานของฝ่ายบริหารหรือของ control environment ไม่ใช่ของ code

⚠️ กับดัก: เวลาถามนิยาม ระวังคำว่า “ทัศนคติ/การกระทำเกี่ยวกับความสำคัญของการควบคุม” — นั่นคือนิยามของ control environment ไม่ใช่ culture ส่วน “การผสมผสานของกระบวนการและโครงสร้าง” คือ governance ก็ไม่ใช่ culture อีก อย่าให้สามคำนี้เบลอกัน

บทบาทของผู้ตรวจในวัฒนธรรม — ผู้ตรวจประเมิน ประสิทธิผลของวัฒนธรรมเชิงจริยธรรม ไม่ใช่สร้างมันขึ้นมา ผู้ตรวจอาจมีบทบาทสนับสนุน active ในเรื่องจริยธรรม ประเมิน code of conduct ประเมินช่องทางรายงานการกระทำผิดแบบเป็นความลับ ประเมิน tone จากผู้นำ ฯลฯ

⚠️ กับดัก: ตัวเลือกที่ให้ผู้ตรวจไป “สร้างวัฒนธรรม” หรือ “รับหน้าที่เป็นเจ้าของกระบวนการ governance” หรือรับตำแหน่ง chief ethics officer — อันหลังนี้ในบางกรณีขัดกับความเป็นอิสระ (independence) ของ function เพราะ function ต้องเป็นอิสระเพื่อทำงานให้ความเชื่อมั่นภายในได้ และระวังอีกขั้วสุดโต่ง — ตัวเลือกที่บอกว่า “ผู้ตรวจควรเลี่ยงเรื่องจริยธรรมทั้งหมดเพื่อรักษา objectivity” ก็ผิด ผู้ตรวจต้อง active แต่ยังคงเป็น “ผู้ประเมิน”

บทบาทผู้ตรวจใน governance — ประเมิน ไม่ใช่ทำเอง#

มาถึงหน้าที่ของกองผู้ตรวจการตรงๆ กันบ้าง หนังสือบอกชัดว่า บทบาทหลักของ internal auditing คือประเมินและช่วยยกระดับ (assess and enhance) การกำกับดูแล ผู้ตรวจอยู่ในตำแหน่งพิเศษ ที่ส่องและประเมิน governance ได้โดยไม่ถูกองค์กรครอบงำ — นี่แหละหัวใจของ objectivity (ความเที่ยงธรรม) กับ independence ที่เราเล่ามาทั้งซีรีส์

ในภาคปฏิบัติ the Standards ผูกเรื่องนี้เข้ากับ Principle 9 (Plan Strategically) และ Standard 9.1 (Understanding Governance, Risk Management, and Control Processes) ซึ่งบอกว่า CAE (หัวหน้ากองผู้ตรวจการ) ต้องเข้าใจว่าองค์กรกำหนดวัตถุประสงค์เชิงกลยุทธ์ยังไง กำกับความเสี่ยงและการควบคุมยังไง ส่งเสริม ethical culture ยังไง และประสานงานระหว่าง board ผู้ให้ความเชื่อมั่นทั้งในและนอก กับฝ่ายบริหารยังไง (จำเจตนาพอ ไม่ต้องท่องเลข standard ครับ)

รายการหน้าที่ที่ “ใช่” ของผู้ตรวจ เช่น สนับสนุน board ในการประเมินความเสี่ยงทั่วทั้งองค์กร, เสนอแนะการปรับปรุงการประสานงาน, ติดตามการปฏิบัติตาม code of conduct, รายงานประสิทธิผลของกรอบการควบคุม, ประเมิน ethical climate ของ board และองค์กร, ประเมินว่า IT governance สนับสนุนกลยุทธ์ไหม

⚠️ กับดัก: ให้สแกน “คำกริยา” ในทุกตัวเลือก ถ้าเจอ assess / evaluate / review / recommend / support / monitor → เป็นงานผู้ตรวจ ถ้าเจอ design / implement / establish / oversee / write / own / carry out / เป็นผู้ดูแลทรัพย์สิน (custodian) → เป็นงานฝ่ายบริหารหรือ board ตัวหลอกยอดฮิต: “implement การควบคุมที่ดีขึ้น”, “ensure ว่าข้อเสนอแนะถูกนำไปทำทันเวลา”, “oversee การบริหารความเสี่ยง”, “ร่าง (draft) code of ethics”, “carry out คำสั่ง board” — พวกนี้ไม่ใช่งานผู้ตรวจทั้งหมด ผู้ตรวจแค่เสนอแนะและติดตามผล

และจำไว้อีกอัน — การ อนุมัติ (approve) กฎบัตรของกองผู้ตรวจการ เป็นหน้าที่ของ board ไม่ใช่ของผู้ตรวจ (ผู้ตรวจเป็นคน “ขอ” อนุมัติ ไม่ใช่คน “อนุมัติ”)

ประเมินกระบวนการ ไม่ใช่รายบุคคล#

เวลาผู้ตรวจไปตรวจ ethics/culture มีหลักสำคัญอยู่ข้อนึง — ให้ประเมินตัวกระบวนการและประสิทธิผลของมัน ไม่ใช่ไปนั่งไล่ดูรายการทีละรายบุคคล

⚠️ กับดัก: ตัวเลือกที่ให้ผู้ตรวจไป “ทบทวนรายงานลับที่พนักงานส่งเข้ามาทีละฉบับ” หรือ “ตรวจ background check ของพนักงานที่จ้างทุกคน” หรือ “ดูโบนัสที่ผู้บริหารแต่ละคนได้” — พวกนี้คือ “instance รายบุคคล” ผู้ตรวจดูกระบวนการ ไม่ใช่ตัวรายการ และตัวเลือกที่บอก “ประเมินแค่ design อย่างเดียว” หรือ “ประเมินแค่ compliance อย่างเดียว” ก็ไม่ครบ — ผู้ตรวจต้องครอบทั้ง design, implementation และ effectiveness เวลาถาม “แนวทางไหนให้ความมั่นใจสูงสุด” ให้เลือกตัวที่ประเมิน ความครบถ้วน (comprehensiveness) และการปฏิบัติตาม (compliance) รวมกัน

ความ “แก่” ของระบบ governance เปลี่ยนบทบาทผู้ตรวจ#

บทบาทและคำแนะนำของผู้ตรวจ มันปรับตามความ mature ของระบบ governance:

  • ระบบยังอ่อน (less mature) → ผู้ตรวจเน้น compliance (การปฏิบัติตามนโยบาย ระเบียบ กฎหมาย) และดูความเสี่ยงพื้นฐาน
  • ระบบแก่แล้ว (more mature) → ผู้ตรวจขยับไปเน้น optimize โครงสร้างและแนวปฏิบัติให้ดีที่สุด และเพิ่มคุณค่าด้วยงาน advisory

⚠️ กับดัก: ในโจทย์ที่บอก “ระบบยังไม่ค่อยมีโครงสร้าง” ตัวเลือกอย่าง “optimize แนวปฏิบัติ governance” หรือ “ให้คำปรึกษาเรื่อง best practices” ถูกวางมาหลอก — พวกนั้นเป็นของระยะ mature กลับกัน ในโจทย์ที่บอก “ระบบแก่แล้ว” ตัวเลือก “compliance กับนโยบาย/กฎหมาย” ก็ถูกวางมาหลอก และไม่ว่าระบบจะแก่แค่ไหน ตัวเลือกที่ให้ผู้ตรวจไป “design กระบวนการ” ผิดเสมอ เพราะกระทบ objectivity

ส่วนโครงสร้างองค์กรที่ลึกกว่านี้ — ใครรายงานใคร สายบังคับบัญชาซ้อนกันยังไง Three Lines Model วางตัวผู้ตรวจไว้ตรงไหน — พวกนี้เดี๋ยวมีที่ลงรายละเอียดโดยเฉพาะในซีรีส์ Organization Anatomy ตอนนี้แค่จำภาพชั้นบนสุดของอาณาจักรให้ติดไว้ก่อนพอ

ตารางกับดักรวม#

สถานการณ์ในโจทย์คำตอบหลอกคำตอบจริง
ใครกำหนดว่าใครเป็น risk owner / จัดการเสี่ยงที่ไหน อย่างไรboardsenior management
ใครริเริ่ม merger / เลือกถอดถอน officers / ตั้งค่าตอบแทนผู้บริหารsenior managementboard
risk owners คือใครsenior managersผู้จัดการงานประจำวันที่ management แต่งตั้ง
นิยาม “identify/assess/control เหตุการณ์เพื่อ assurance”governancerisk management
”โครงสร้าง/กระบวนการให้ IT สนับสนุนกลยุทธ์”governanceIT governance
risk appetite / overall objectives อยู่องค์ประกอบไหนoversightstrategic direction
internal + external assurance อยู่องค์ประกอบไหนstrategic directionoversight
ผู้ตรวจสนใจองค์ประกอบไหนมากสุดstrategic directionoversight
อะไร “น้อยที่สุด” ที่มีอิทธิพลต่อ governanceหน่วยงานกำกับของรัฐexternal service providers
corporate charter / bylaws เป็นกลไกแบบไหนexternalinternal
เพื่อนบ้านของโรงงานเป็น stakeholder ไหมไม่นับนับ
หลักการที่ส่งเสริม accountabilityลำดับชั้น/อำนาจเฉพาะตัวtransparency
ใครเป็นเจ้าของวัฒนธรรมองค์กรboard / ผู้ตรวจsenior management
code of conduct ทำหน้าที่อะไรตั้ง monitoring / ระบุ key risks / วัดผลระบุค่านิยม พฤติกรรมที่คาดหวัง
ผู้ตรวจกับ code of ethicsร่าง/เขียน code เองประเมินและเสนอแนะ
ใครอนุมัติกฎบัตรกองผู้ตรวจการผู้ตรวจ / CAEboard
ตรวจ ethics ให้ดูอะไรรายงานลับรายฉบับ / background check รายคนตัวกระบวนการและความครบถ้วน+compliance
ระบบ governance ยังอ่อน ผู้ตรวจเน้นอะไรoptimize / best practicescompliance + ความเสี่ยงพื้นฐาน
ระบบ governance แก่แล้ว ผู้ตรวจเน้นอะไรcompliance พื้นฐานoptimize โครงสร้างและแนวปฏิบัติ
ผู้ตรวจ design กระบวนการ governance ได้ไหมได้ ถ้าระบบยังอ่อนไม่ได้ กระทบ objectivity เสมอ

สิ่งที่จดสำหรับวันสอบ#

  • board สั่ง — ผู้บริหารทำ — risk owners ดูแลหน้างาน — ผู้ตรวจแค่ประเมิน ท่องประโยคนี้ ใช้ได้กับครึ่งบท
  • นิยาม governance = กระบวนการ+โครงสร้างที่ board ใช้เพื่อ inform, direct, manage, monitor สู่วัตถุประสงค์ (คำกริยาสี่ตัว + เจ้าของคือ board)
  • สององค์ประกอบ: strategic direction = ตั้งค่า (business model, objectives, risk appetite, limits) / oversight = เฝ้าดู (risk management + assurance ทั้งในและนอก) — ผู้ตรวจสน oversight
  • board เอง: select/remove officers, capital structure, mergers, set compensation, coordinate audit, ระบุ stakeholders + ผลลัพธ์ที่รับไม่ได้
  • senior management เอง: where / who / how ของความเสี่ยง + tone at the top + วัฒนธรรม
  • internal = charter, bylaws, board, IA, ethical culture / external = กฎหมาย ระเบียบ หน่วยงานรัฐ — governance ใช้ทั้งสอง
  • ตัว “ไม่ค่อยมีผล” ต่อ governance = external service providers (แค่เสริมผู้ตรวจ)
  • stakeholder = ใครก็ตามที่ได้รับผลกระทบ (รวมเพื่อนบ้านโรงงาน) — คู่แข่งกับเจ้าหนี้ของพนักงานไม่ค่อยนับ
  • senior management เป็นเจ้าของวัฒนธรรม, board กำกับ ethical climate, ผู้ตรวจแค่ประเมิน
  • code of conduct บอกค่านิยม+พฤติกรรมที่คาดหวัง ไม่ใช่ monitoring / key risks / วัดผล / control
  • ผู้ตรวจ = assess/evaluate/recommend/support/monitor เท่านั้น — เจอ design/implement/own/write/carry out = ไม่ใช่ผู้ตรวจ
  • board เป็นคนอนุมัติกฎบัตรหน่วยตรวจ ไม่ใช่ผู้ตรวจ
  • ตรวจ ethics = ดูกระบวนการ ไม่ใช่ instance รายบุคคล และต้องครบทั้ง comprehensiveness + compliance
  • ระบบอ่อน → เน้น compliance / ระบบแก่ → เน้น optimize / design = ผิดเสมอ

รู้แล้วว่า governance คือ board ตั้งทิศทางและเฝ้าดู ส่วน management เป็นเจ้าของความเสี่ยง แต่ “ความเสี่ยง” ที่พูดถึงกันลอยๆ นี่จริงๆ มันมีภาษาของมันทั้งชุด ตอนหน้าเราปูภาษา risk ให้ครบก่อนไปต่อ ตอนถัดไป: ภาษา risk — COSO ERM กับ ISO 31000 ครับ

อ้างอิง: Gleim CIA Review (2026), Part 1 · IIA Global Internal Audit Standards (2024)