สารบัญ
ลองนึกภาพร้านของเถ้าแก่ที่โตจากห้องแถวห้องเดียว จนตอนนี้มีหน้าร้าน มีคลัง มีทีมบัญชี มีคนเดินเงินเข้าออกวันละหลายรอบ วันก่อนยังนั่งเฝ้าลิ้นชักเองได้ ตอนนี้เงินไหลผ่านมือคนสิบกว่าคนกว่าจะถึงบัญชีธนาคาร
คำถามที่ทำให้เถ้าแก่นอนไม่หลับไม่ใช่ “ยอดขายเดือนนี้เท่าไหร่” — แต่เป็น “เงินที่ลูกค้าจ่ายมาจริงๆ มันเข้าบัญชีครบไหม หรือหล่นหายระหว่างทางกี่บาท แล้วใครจะรู้”
ตอนก่อนๆ เราไล่เรื่อง control แบบแนวคิดไปแล้ว — preventive/detective, control แข็ง control อ่อน ตอนนี้ถึงเวลาเอาของจริงไปติดตั้งในกระบวนการที่เงินไหลผ่านทุกวัน คือวงจรบัญชี (accounting cycles) แล้วค่อยถอยออกมามองภาพใหญ่ว่ามีกรอบอะไรจัดระเบียบมันอยู่
พูดให้ชัดอีกที ตอนที่แล้วเราจับตระกูล control ให้ครบ — preventive/detective/corrective/directive, จังหวะ feedforward/concurrent/feedback, ITGC กับ application control ชั้น input/processing/output รวมถึง inherent limitation ที่แก้ไม่ได้ ตอนนี้ถึงคิวเอาชื่อพวกนั้นไปวางจริงในที่ที่เงินไหลผ่านทุกวัน แล้วดูว่าข้อสอบชอบสลับหน้าที่ตรงไหน
โครงของบท
- แยกหน้าที่ (segregation of duties) — สูตร A-R-C: ใครอนุมัติ ใครบันทึก ใครถือของ ห้ามซ้อนกัน
- วงจรเงินสี่ห้าวง — ขายเชื่อ, เก็บเงิน, ซื้อของ-จ่ายเงิน, จ่ายเงินเดือน แต่ละวงมีจุดที่ข้อสอบชอบวางกับดัก
- management controls — control ที่ฝ่ายบริหารตั้งเพื่อคุมภาพรวม จุดตายคือ “ต้องตรงโจทย์” ไม่ใช่แค่ดูดี
- control frameworks — COSO 5 องค์ประกอบ (สูตร CRIME) + COBIT สำหรับ IT ที่ข้อสอบชอบสลับป้ายชื่อ
สูตรตั้งต้นของทุกอย่าง: แยกหน้าที่ A-R-C
ก่อนจะลงวงจรไหน ต้องมีเข็มทิศตัวนี้อยู่ในหัวก่อน เพราะข้อสอบ Part 1 ออกเรื่องนี้ซ้ำๆ หลายข้อจริงๆ
หัวใจของ internal control (การควบคุมภายใน — กระบวนการที่ organization ตั้งขึ้นเพื่อปกป้องทรัพย์สิน ทำให้รายงานถูกต้อง และทำตามกฎ) คือการออกแบบให้ “คนเดียวคุมทั้งรายการไม่ได้” ตั้งแต่ต้นจนจบ ทำไมล่ะ ก็เพราะถ้าคนเดียวทำได้ครบ เขาก็โกงเองแล้วกลบร่องรอยเองได้เลยไง
มาตรฐานแยกหน้าที่ออกเป็นสามกล่อง จำเป็นตัวย่อ A-R-C:
- Authorization (การอนุมัติ) — อนุมัติเครดิตลูกค้า, อนุมัติตัดหนี้สูญ, สั่งซื้อของ, ขึ้นเงินเดือน, อนุมัติรับคืนสินค้า
- Recording (การบันทึก) — ลงบัญชีแยกประเภท, ทำ invoice, ทำ payroll, กระทบยอด subsidiary กับ control account
- Custody (การถือครองทรัพย์สิน) — รับเงินสด/เช็ค, เซ็นและแจกเช็ค, รับของเข้าคลัง, เก็บเช็คเปล่า
กติกาเดียวที่ต้องท่องให้ขึ้นใจ: คนหนึ่งถือได้แค่กล่องเดียว ถ้าใครคาบเกี่ยว สองในสามกล่อง เมื่อไหร่ = จุดอ่อน (weakness) ทันที และ control ตัวนี้เอาชนะได้ทางเดียวคือ การสมรู้ร่วมคิด (collusion) หรือผู้บริหารสั่งข้าม (management override) ลำพังคนเดียวทำไม่ได้ นั่นแหละคือคุณค่าของมัน
มุมเถ้าแก่: นี่คือ control ที่ถูกที่สุดและได้ผลที่สุดที่เจ้าของกิจการซื้อได้ ไม่ต้องลงทุนระบบแพงๆ แค่จัดโครงสร้างว่าใครทำอะไรให้ไม่ซ้อนกัน คนที่ถือเงินอย่าให้แตะสมุดบัญชี คนที่ลงบัญชีอย่าให้อนุมัติ เท่านี้โอกาสที่พนักงานคนเดียวจะยักยอกแล้วปิดบังได้ก็แทบเป็นศูนย์ ต้องหาพวกถึงจะทำได้ ซึ่งยากกว่ามาก
มุมคนสอบ: ข้อสอบชอบโยนตารางมาว่าใครทำหน้าที่อะไร แล้วถามว่า “อันไหนคือ weakness” วิธีทำคือ จับทุกหน้าที่ยัดลงกล่อง A-R-C ก่อนเลย แล้วค่อยมองหาคนที่ขาสองกล่อง
⚠️ กับดัก: ตัวหลอกคลาสสิคคือ สองงานที่อยู่กล่องเดียวกัน เอามามัดรวมให้ดูน่าสงสัย เช่น คนคุมเวลาเข้างาน (timekeeping) แล้วก็ทำรายการบันทึก payroll ด้วย เห็นแล้วเหมือนกุมอำนาจเยอะ แต่จริงๆ ทั้งคู่คือ recording ไม่มี custody ไม่มี authorization → ปลอดภัย ไม่ใช่ weakness อีกตัวคือแคชเชียร์ถือเงิน (custody) เฉยๆ ก็ยังไม่ผิด จนกว่าโจทย์จะแอบเติมหน้าที่ ลงบัญชี AR เข้าไปด้วย ตรงนั้นแหละถึงพัง เพราะมันกลายเป็น custody + recording
แล้วก็ระวังคำหลอกพวก “มี limited supervision” หรือ “มี periodic review” ที่ยื่นมาเป็นทางแก้ให้คนที่คุมทั้ง custody + authorization อยู่แล้ว — การตรวจเป็นครั้งคราวมันไม่ได้ไปรักษาการแยกหน้าที่ที่หายไป ยังเป็น weakness อยู่เหมือนเดิม
⚠️ กับดักมุมกลับ: บางข้อมันพลิกไปถาม “อันไหน ยอมรับได้ / สอดคล้อง กับการแยกหน้าที่” — พอเป็นแบบนี้ คู่ที่อยู่กล่องเดียวกันมันจะกลายเป็นคำตอบที่ถูก ส่วนคู่ข้ามกล่องกลายเป็นตัวหลอกแทน เพราะงั้นอ่านกริยาในโจทย์ให้ขาดก่อน
วงจรที่หนึ่ง-สอง: ขายเชื่อ → เก็บเงิน
ทีนี้เอาสูตรไปเดินในวงจรจริง กระบวนการบัญชีของกิจการแบ่งเป็นห้าวงหลักๆ: ขายเชื่อ, เก็บเงินจากลูกหนี้, ซื้อเชื่อ, จ่ายเงินเจ้าหนี้, แล้วก็จ่ายเงินเดือน แต่ละที่รายละเอียดต่างกันไป ไม่ต้องท่องเป๊ะ แต่ต้องเข้าใจว่าทำไมแต่ละขั้นถึงโยนหน้าที่ให้คนละแผนก
ในวงจรขาย ฝ่ายขายรับ order มาทำใบสั่งขาย ฝ่าย Credit ตรวจเครดิตก่อนอนุมัติ (นี่คือ authorization) คลังหยิบของ ฝ่ายจัดส่งส่งของ ฝ่าย Billing ทำ invoice จากของที่ส่งจริง แล้วฝ่าย AR ค่อยลงบัญชีลูกหนี้ พอเงินเข้ามาในวงจรเก็บเงิน ห้องรับจดหมายเปิดซองโดยมีสองคนอยู่ด้วยกันเสมอ ประทับตราเช็ค “เข้าบัญชีนี้เท่านั้น” แล้วแยกเงินกับเอกสารเดินคนละทาง — เงินไปฝ่ายรับเงินเพื่อฝากธนาคาร ส่วนใบแจ้งไปอัปเดต AR
จุดที่สวยงามของดีไซน์นี้คือ ทุกไฟล์ถูกอัปเดตแยกกัน แล้วค่อยเอามากระทบยอด — inventory, AR, GL ต่างคนต่างบันทึก พอ reconcile กันเมื่อไหร่ ถ้าเลขไม่ตรงก็รู้เลยว่ามีปัญหา
มุมเถ้าแก่: ทางเลือกที่เจ้าของหลายรายชอบคือ lockbox — ให้ลูกค้าส่งเช็คไปที่ตู้ ป.ณ. ของธนาคารโดยตรง ธนาคารเก็บเช็คเข้าบัญชีให้เลย เงินไม่ต้องผ่านมือพนักงานในออฟฟิศ ลดโอกาสยักยอกที่ต้นทางไปเยอะมาก
⚠️ กับดัก: ข้อสอบชอบถามว่า control ไหน “ป้องกัน ได้ดีที่สุด / ให้ความมั่นใจสูงสุดว่าเงินเข้าครบ” แล้วยื่นตัวหลอกอย่าง bank reconciliation, การทำ aging ลูกหนี้, การเทียบงบกับจริง มาให้ พวกนี้เป็น control จริงทั้งนั้นแหละ แต่มันเป็น detective มันแค่ตรวจเจอทีหลัง ไม่ได้กันไว้ที่ต้นทาง พอโจทย์ใช้คำว่า “prevent / most effective preventive” ต้องเลือกตัวที่หยุดเหตุตั้งแต่แรก เช่น แยกหน้าที่, lockbox ไม่ใช่ตัวที่ตามไปนับความเสียหายทีหลัง
⚠️ กับดักมุมกลับ: ถ้ากริยาเปลี่ยนเป็น “detect / discover” ให้พลิกทันที — ตอนนี้ตัว detective กลายเป็นคำตอบที่ถูก เช่น การไล่ดู debit ที่ถูกใช้กลบการขโมย (โกงแบบทำให้ยอดลูกค้าดูปกติ พวก confirmation หรือ audit จะตรวจไม่เจอ ต้องไปดูที่ debit ผิดปกติแทน)
วงจรที่สาม-สี่: ซื้อของ → จ่ายเงิน
ฝั่งจ่ายเงินก็เดินสูตรเดิม Inventory Control อนุมัติให้ซื้อเมื่อของถึงจุดสั่งซื้อ ฝ่าย Purchasing ออกใบสั่งซื้อ ฝ่าย Receiving รับของ แล้วฝ่าย AP ค่อยจับเอกสารทั้งหมดมาแมตช์กันก่อนอนุมัติจ่าย ฝ่ายจ่ายเงินเซ็นเช็ค แล้วก็ประทับตรา “Paid” บนเอกสารกันไม่ให้เอาชุดเดิมมาเบิกซ้ำ
มีจุดออกแบบละเอียดตรง Receiving ที่ข้อสอบรักมาก: สำเนาใบสั่งซื้อที่ส่งให้ฝ่ายรับของต้องเว้นช่องจำนวนไว้ว่างๆ เพื่อบังคับให้พนักงานนับของจริง ไม่ใช่ลอกตัวเลขที่คาดไว้มากรอกทิ้ง
⚠️ กับดัก: ถ้าสำเนาของฝ่ายรับของ มีจำนวนพิมพ์มาให้แล้ว เห็นแล้วเหมือนสะดวกดี แต่มันเปิดช่องให้พนักงานเซ็นรับตามตัวเลขที่เห็นโดยไม่นับ → จ่ายเงินเกินให้ของที่ส่งมาไม่ครบได้เลย อีกตัวหลอกคือ “เอาจำนวนที่รับมาเทียบกับ packing slip” ฟังดูดีนะ แต่ ทั้งใบสั่งซื้อ ทั้ง packing slip มันมาจาก vendor เจ้าเดียวกัน มันเลยไม่ได้พิสูจน์ว่าของที่สั่งไปมาครบจริง
เรื่องความครบถ้วน (completeness — มั่นใจว่าทุกรายการถูกบันทึก ทุก shipment ถูกวางบิล) หลักคิดคือ: เริ่มจากประชากรที่ต้องครบ (เอกสารส่งของ) ทำให้มันเลขรันต่อเนื่อง (prenumbered) แล้วให้คนนอกที่เป็นอิสระไล่เช็คว่าเลขไม่ขาดหายไปใบไหน จากนั้นค่อยเอาไปแมตช์กับ invoice
⚠️ กับดักมุมกลับ: ระวังการ prenumber ผิดเอกสาร ถ้าไปรันเลขแค่ใบ invoice อย่างเดียว มันจับ shipment ที่ส่งแล้วแต่ไม่วางบิลไม่ได้ ต้อง prenumber ที่เอกสารส่งของแล้วค่อยแมตช์กับ invoice แล้วคนที่ไล่เช็คก็ต้องเป็นบุคคลที่สามด้วย เพราะถ้าให้ Purchasing แมตช์ใบสั่งซื้อกับใบรับของเอง การโกงในฝ่ายจัดซื้อก็ถูกกลบได้สบายๆ
วงจรที่ห้า: จ่ายเงินเดือน — คนละมือกันสามฝ่าย
payroll เป็นวงที่ข้อสอบชอบเป็นพิเศษ เพราะมันเปิดช่องให้ “พนักงานผี” (ghost employee) ได้ง่ายมาก โครงสร้างที่ถูกคือ:
- HR/ฝ่ายบุคคล = อนุมัติ — เพิ่ม/ลบพนักงาน และตั้งอัตราเงินเดือน ทำที่นี่ที่เดียว
- Payroll = บันทึก — คำนวณเงินเดือน ทำ payroll register แต่ห้ามเพิ่มคน ห้ามแจกเช็ค ห้ามเก็บเช็คที่ไม่มีคนมารับ
- ฝ่ายจ่ายเงิน/Treasurer = ถือครอง — แจกหรือดูแลเช็ค โดยเป็นคนที่ไม่มีหน้าที่บันทึกหรืออนุมัติ
มุมเถ้าแก่: จุดที่เจ็บกระเป๋าเงียบๆ คือมีคนไม่กี่คนในบริษัทที่รู้ว่า “ถ้าเพิ่มชื่อในระบบเงินเดือน แล้วแอบไปหยิบเช็คของคนที่ลาออกไปแล้ว” เงินก้อนนั้นจะเข้ากระเป๋าใครก็ได้ ดีไซน์ที่ดีคือบังคับให้ต้องสมรู้ร่วมคิด เช่น HR เพิ่มพนักงานได้แต่ใส่เลขบัญชีธนาคารไม่ได้ ส่วน Payroll ใส่เลขบัญชีได้แต่เพิ่มพนักงานไม่ได้ — คนเดียวลุยไม่จบ
⚠️ กับดัก: ตัวหลอกยอดฮิตคือ “หัวหน้างานเป็นคนแจกเช็คเงินเดือนให้ลูกน้อง” ฟังดูสะดวกดี แต่นั่นแหละเปิดช่องให้หัวหน้าเก็บเช็คของพนักงานผี/คนที่ลาออกไว้เอง อีกตัวคือให้ Payroll โพสต์เข้า GL หรือแจกเช็คเอง ดูเหมือนจบงานในมือเดียวดี แต่มันคือการยัด recording + custody เข้าไปในฝ่ายที่ควรมีแค่ recording
⚠️ กับดักมุมกลับ: ถ้าโจทย์ถาม “การแยกหน้าที่คู่ไหน ไม่จำเป็น” — คำตอบคือการแยกงานสอง recording ที่อยู่กล่องเดียวกันอยู่แล้ว เช่น แยก “การทำ payroll” ออกจาก “การเก็บ record ยอดสะสมทั้งปี” ทั้งคู่เป็น recording ไม่มี asset ให้แตะ แยกไปก็ไม่ได้เพิ่ม control อะไร
Management controls — ต้องตรงโจทย์ ไม่ใช่แค่ดูดี
ถอยออกมาอีกชั้นนึง นอกจาก control ระดับ transaction ในวงจรบัญชีแล้ว ยังมี management controls คือ control ที่ฝ่ายบริหารตั้งขึ้นมาเพื่อนำทาง ติดตาม แล้วก็ประเมินว่ากิจกรรมขององค์กรมันได้ผลไหม เช่น การตั้งมาตรฐานผลงาน การรีวิวพนักงาน การทำงบประมาณเทียบกับผลจริง
เรื่องบทบาท: board (สภา/คณะกรรมการ ในความหมายกว้าง) เป็นผู้กำกับดูแลฝ่ายบริหาร CEO เป็นคนวาง tone at the top ส่วน internal audit function (หน่วยงานตรวจสอบภายใน — สังเกตว่าใช้คำว่า function ตามศัพท์ the Standards ไม่ใช่ activity) มีบทบาทให้คำแนะนำ (advisory) และประเมินระบบ control ได้ แต่ห้ามเป็นคนเลือกหรือติดตั้ง control เอง เพราะจะเสียความเป็นอิสระ (independence) และความเที่ยงธรรม (objectivity) ในการไปตรวจของตัวเอง ความรับผิดชอบหลักในการออกแบบระบบ control อยู่ที่ฝ่ายบริหารเสมอ
การเลือก management control ที่ถูก หัวใจมันอยู่ที่ อ่านโจทย์ให้ขาดว่าเขาต้องการอะไร เพราะข้อสอบชุดนี้เต็มไปด้วย control ที่ “ของจริง ใช้ได้ แต่ผิดเป้า”
⚠️ กับดัก 1 · preventive ชนะ detective: ถ้าโจทย์อยาก “ลด/ป้องกัน” ความสูญเสียหรือของเสีย ให้เลือกตัวที่หยุดเหตุที่หน้าประตู เช่น กำหนด spec วัตถุดิบก่อนซื้อ, มอบ custody + ต้องมีใบเบิก, ต้องให้ผู้บริหารอนุมัติก่อนตัดของเป็น scrap ตัวหลอกคือ การนับสต็อก, การหายอด spoilage, การไล่ตาม variance รายเดือน พวกนี้เจอความเสียหายแล้ว แต่ไม่เคยหยุดมัน และตัวหลอกร้ายที่สุดคือ ประกันภัย ที่แค่จ่ายชดเชยหลังของหาย ไม่เคยกันการขโมยได้เลย ห้ามเลือกเป็นคำตอบ “ป้องกัน” เด็ดขาด
⚠️ กับดัก 2 · แยกหน้าที่ยังต้องเช็คเป้าก่อน: SoD เป็นคำตอบที่ถูกบ่อยก็จริง แต่มันตอบเรื่อง safeguarding (การปกป้องทรัพย์สิน) ถ้าโจทย์ถามเรื่อง authorization เช่น “จะคุมการทำธุรกรรมหนี้/ทุนให้ถูกต้องยังไง” คำตอบกลับกลายเป็น นโยบายให้ board รีวิว ไม่ใช่การแยก custody กับ recording แล้วก็ระวังตัวหลอก “ให้สองคนทำงานเดียวกัน” (เช่น สองคนคำนวณอัตราแลกเปลี่ยนเหมือนกัน) — นั่นมันไม่ใช่การแยกหน้าที่จริง มันแค่ทำซ้ำเฉยๆ
⚠️ กับดัก 3 · control ต้องตรงความเสี่ยงที่ระบุเป๊ะ: ตัวหลอกคือ “ตระกูลถูก แต่ยิงผิดเป้า” — เช่น ปัญหาคือพนักงานจัดซื้อลำเอียงเข้าข้าง vendor เจ้าประจำ ทางแก้คือ หมุนเวียนงาน (rotate assignments) ไม่ใช่การรีวิวยอดใช้จ่าย แต่ถ้าปัญหาคือซื้อจากบริษัทของญาติผู้บริหาร ทางแก้คือ นโยบายเรื่องผลประโยชน์ทับซ้อน (conflict-of-interest policy) และระวังโจทย์สองเป้า (เช่น “ทั้งลดสต็อกเกิน ทั้งคุมต้นทุนบาน”) ต้องเลือก control ที่ครอบทั้งสองครึ่ง ไม่ใช่ตัวที่แก้ได้ครึ่งเดียว
⚠️ กับดัก 4 · performance review คือ management control: ถ้าถามว่าผู้บริหาร “กำกับ/ติดตาม/จับ variance” ได้ดีที่สุดยังไง ให้เลือกตัวที่เทียบผลจริงกับงบ/forecast/ที่คาดไว้ แล้วตามสอบส่วนต่าง ตัวหลอกคือ physical safeguard (ย้ายชั้นวาง, ล็อกตู้) ซึ่งมันตอบเรื่อง safeguarding ไม่ใช่การกำกับ และอีกตัวหลอกคือ “ของถูกเกินไปไม่ต้องคุม” — อันนี้ผิด ต่อให้เป็นของสิ้นเปลืองราคาถูก ก็ยังควรมีการรีวิวต้นทุนเทียบงบอยู่ดี
Control frameworks — กรอบแม่บทที่จัดระเบียบทั้งหมด
พอ control กระจายเต็มไปหมด คำถามต่อมาคือ “ทำไงให้มั่นใจว่าครบทุกมุม ไม่มีรูโหว่” คำตอบคือใช้ framework เป็นแม่บท ตัวที่ต้องรู้จักคือ COSO (คุมภาพรวม internal control), COBIT 2019 (เจาะ IT governance), แล้วก็ ISO 31000 (หลักการบริหารความเสี่ยงกว้างๆ)
COSO นิยาม internal control ว่าเป็นกระบวนการที่ทำโดย board ฝ่ายบริหาร และพนักงานทุกคน เพื่อให้ “ความมั่นใจอย่างสมเหตุสมผล (reasonable assurance) — ไม่ใช่ความมั่นใจสัมบูรณ์” ต่อการบรรลุวัตถุประสงค์ 3 กลุ่ม: operations, reporting, compliance จำเจตนาพอ ไม่ต้องท่องเป๊ะ
COSO แตกออกเป็น 5 องค์ประกอบ สูตรช่วยจำคือ “Controls stop CRIME”:
- C — Control activities (กิจกรรมควบคุม): นโยบาย/ขั้นตอนที่ลดความเสี่ยงจริงๆ เช่น แยกหน้าที่, กระทบยอด, อนุมัติ, performance review
- R — Risk assessment (ประเมินความเสี่ยง): ระบุและวิเคราะห์ความเสี่ยง รวมถึงความเสี่ยงทุจริต
- I — Information & communication: จับข้อมูลและสื่อสารให้คนที่เกี่ยวข้อง
- M — Monitoring: ประเมินตามเวลาว่า control ตัวอื่นยังทำงานอยู่ไหม คือการตรวจว่า control อื่นเวิร์ก
- E — Control environment (สภาพแวดล้อมการควบคุม): มาตรฐาน โครงสร้าง และทัศนคติจากข้างบน คือ tone at the top
มุมเถ้าแก่: framework ไม่ได้มีไว้ให้ดูหรู มันคือ checklist ระดับสภาว่า “องค์กรเราคิดครบทั้ง 5 มุมหรือยัง” ถ้าสภาพแวดล้อม (E) ไม่แข็ง คือคนบนไม่เอาจริงเรื่อง control อีกสี่ตัวที่เหลือก็ทำงานได้ไม่เต็มที่ เพราะ control environment มีผลแผ่ซ่านไปทั้งระบบ
มุมคนสอบ: ข้อสอบเรื่อง COSO คือเกม “จับกริยา ยัดลงองค์ประกอบ”
⚠️ กับดัก · จับกริยา ไม่ใช่ความรู้สึก: ตัวหลอกหนักสุดคือเอา control activities (แยกหน้าที่, กระทบยอด, performance review, การประมวลผลข้อมูล) ไปวางเป็นตัวเลือกของ control environment ซึ่งผิด เพราะพวกนั้นคือ control activities ทั้งหมด ให้แมตช์ตามหน้าที่ของมัน:
- อะไรที่ “ลด/ลงมือทำ” control (SoD, reconciliation, อนุมัติ, performance review) → control activities
- อะไรที่เป็น ทัศนคติ/tone/การให้ความสำคัญกับ control จาก board และฝ่ายบริหาร → control environment
- อะไรที่ “ระบุและวิเคราะห์” ความเสี่ยง → risk assessment (ระวัง! แค่โจทย์เอ่ยคำว่า risk ไม่ได้แปลว่าตอบ risk assessment — ถ้ามันกำลังลดความเสี่ยง นั่นคือ control activities)
- อะไรที่ ประเมินตามเวลาว่า control ยังเวิร์กไหม / ฝ่ายบริหารกำกับดูประสิทธิผล → monitoring (ไม่ใช่ control activities — การกระทบยอดที่สาขาคือ control activity ส่วน monitoring คือการตรวจว่า control ตัวอื่นทำงาน)
⚠️ กับดัก · control environment คือ “ท่าที” ไม่ใช่ “งาน”: ถ้าถามว่า “วิธีที่ดีที่สุดในการส่งต่อวัฒนธรรม/จริยธรรม” คำตอบคือ ทำให้ดูเป็นตัวอย่างจากข้างบน (lead by example) ชนะการเขียนนโยบาย, การตั้งงบ audit, หรือจดหมายข่าว และสิ่งที่ทำลาย control environment มากที่สุดคือ อำนาจกระจุกอยู่ที่คนคนเดียว (โดยเฉพาะถ้าเป็นผู้ถือหุ้นที่ครอบงำ) ส่วนตัวหลอกที่จริงๆ แล้วช่วยสภาพแวดล้อม (audit committee ที่ทำงาน, IA เข้าถึงข้อมูลได้) จะถูกวางมาให้เลือกผิด อย่าลืมว่าอะไรที่เพิ่มการกำกับดูแลคือตัวที่ mitigate ไม่ใช่ตัวที่ทำลาย
COBIT ต่างจาก COSO ตรงที่มันเจาะ IT governance โดยเฉพาะ ยุคนี้ IT แทรกอยู่ในทุกกระบวนการ เลยต้องมีกรอบเฉพาะของมันเอง
⚠️ กับดัก · อย่าสลับป้ายชื่อ framework: ถ้าโจทย์พูดถึง 3 กลุ่มวัตถุประสงค์ (operations/reporting/compliance) หรือ “reasonable assurance” หรือ framework ที่ SEC รับรองสำหรับออกแบบ control ตาม SOX → นั่นคือ COSO อย่าไปหลงตอบ COBIT/ITGI/eSAC ส่วนถ้าเป็นภาษา “governance system” ของ IT → COBIT แล้วก็ต้องแยกหลักการ COBIT ให้ออกตามนิยามด้วย: dynamic = ตอบสนองต่อการเปลี่ยน design factor, holistic = สร้าง synergy ให้ทุกส่วนทำงานสอดคล้องกันทั้งระบบ, end-to-end = ครอบคลุมเกินแค่ฝ่าย IT และถ้าถามว่า “ผู้ใช้ framework พวกนี้คือใคร” คำตอบคือ ทุกคนที่มีความรับผิดชอบด้าน control ไม่ใช่แค่ผู้ตรวจ ไม่ใช่แค่ผู้บริหารระดับสูง และไม่ใช่ “ทุกคนในโลก” แบบเหมารวม
ตารางกับดักรวม
| สถานการณ์ในโจทย์ | คำตอบหลอก | คำตอบจริง |
|---|---|---|
| คนคุมเวลาเข้างาน + ทำรายการ payroll ด้วย | ดูกุมอำนาจเยอะ = weakness | ทั้งคู่คือ recording กล่องเดียวกัน = ยอมรับได้ |
| แคชเชียร์ถือเงิน แล้วลงบัญชี AR ด้วย | ถือเงินเฉยๆ ไม่ผิด | custody + recording = weakness |
| ถาม control “ป้องกัน” เงินเข้าไม่ครบ | bank reconciliation / aging ลูกหนี้ | แยกหน้าที่ / lockbox (bank rec เป็น detective) |
| กริยาพลิกเป็น “detect” การโกงที่กลบยอดไว้ | confirmation / audit | ไล่ดู debit ที่ถูกใช้กลบการขโมย |
| สำเนาใบสั่งซื้อให้ฝ่ายรับของ | ใส่จำนวนมาให้ครบ สะดวกดี | เว้นจำนวนว่าง บังคับให้นับจริง |
| จะพิสูจน์ว่า shipment ถูกวางบิลครบ | prenumber ใบ invoice | prenumber เอกสารส่งของ + คนนอกไล่เลข |
| หัวหน้างานแจกเช็คเงินเดือน | สะดวก ใกล้ชิดลูกน้อง | Treasurer แจก (custody แยกจาก record/authorize) |
| จะ “ป้องกัน” ของหาย/ถูกขโมย | ประกันภัย / นับสต็อกรายเดือน | preventive: มอบ custody + ใบเบิก |
| แก้ปัญหาจัดซื้อลำเอียงเข้าข้าง vendor | รีวิวยอดใช้จ่าย | หมุนเวียนงาน (rotate assignments) |
| ซื้อจากบริษัทของญาติผู้บริหาร | รีวิวราคา/นโยบายราคา | conflict-of-interest policy |
| แยกหน้าที่วางเป็นตัวเลือก control environment | เป็นส่วนของ environment | เป็น control activities |
| framework ที่ SEC รับรองสำหรับ SOX | COBIT / ITGI / eSAC | COSO |
| control ที่ตรวจว่า control อื่นยังเวิร์ก | control activities | monitoring |
สิ่งที่จดสำหรับวันสอบ
- A-R-C = Authorize / Record / Custody ยัดทุกหน้าที่ลงกล่อง คนเดียวคาบสองกล่อง = weakness สองงานกล่องเดียวกัน = ปลอดภัย
- SoD เอาชนะได้ทางเดียวคือ collusion หรือ management override — supervision/periodic review ไม่ช่วย
- อ่านกริยาก่อนเสมอ: prevent → หยุดที่ต้นทาง / detect → ตัว detective (bank rec, review debits) / supervise-monitor variance → เทียบจริงกับงบ
- ประกันภัยไม่ใช่ preventive — จ่ายหลังของหายเท่านั้น
- payroll: HR อนุมัติ, Payroll บันทึก, Treasurer แจกเช็ค — หัวหน้างานแจกเช็ค = กับดัก
- COSO: 3 วัตถุประสงค์ = operations/reporting/compliance, reasonable ไม่ใช่ absolute, 5 องค์ประกอบ = CRIME
- COSO sorting: ลด/ทำ control = activities / ทัศนคติ = environment / ระบุ-วิเคราะห์ = risk assessment / ตรวจว่า control อื่นเวิร์ก = monitoring
- COSO = internal control (SOX), COBIT = IT governance อย่าสลับป้าย
- COBIT: dynamic = ตาม design factor, holistic = synergy ทั้งระบบ, end-to-end = เกินแค่ฝ่าย IT
- control frameworks มีไว้ให้ทุกคนที่รับผิดชอบ control ไม่ใช่แค่ผู้ตรวจ
- ดูโครงสร้างองค์กรที่รองรับการแยกหน้าที่เพิ่มได้ที่ องค์กรแยกส่วนกันยังไง
ปูรากฐานเรื่องอาชีพ ความเป็นอิสระ risk และ control มาครบแล้ว จากนี้เราหันมาดูว่ากองผู้ตรวจการรับงานอะไรได้บ้าง ตอนหน้าเปิดเมนูงาน assurance กัน — assurance ต่างจาก advisory ยังไง ใครอยู่ในงานบ้าง ตอนถัดไป: เมนูงาน assurance ครับ
อ้างอิง: Gleim CIA Review (2026), Part 1 · IIA Global Internal Audit Standards (2024)