สารบัญ
ลองนึกภาพว่ากองผู้ตรวจการในอาณาจักรเถ้าแก่เปิดหน้าร้านขึ้นมาร้านหนึ่ง หน้าร้านมี “เมนู” แปะไว้ เหมือนร้านก๋วยเตี๋ยวที่มีทั้งน้ำใส น้ำตก เย็นตาโฟ ต้มยำ เถ้าแก่เดินเข้ามาถามว่า “กองเอ็งรับทำอะไรได้บ้าง” — คำถามนี้แหละที่ทั้งซีรีส์เราค้างไว้ตั้งแต่ตอนก่อนๆ เรารู้แล้วว่ากองนี้ต้องเป็นอิสระ ต้องเที่ยงธรรม ต้องมี mandate จากสภา แต่ “แล้วมันทำงานอะไรจริงๆ” ยังไม่เคยกางเมนูให้ดูเต็มๆ
ตอนนี้เรามากางเมนูกัน มีจานหนึ่งที่เป็นจานหลักของร้าน จานที่ทำให้กองนี้มีตัวตนขึ้นมา คือ assurance หรือการให้ความเชื่อมั่น พูดง่ายๆ กองนี้รับหน้าที่ยืนยันว่า “สิ่งที่สภาเห็นบนกระดาษ = ความจริงที่เกิดขึ้นจริงในอาณาจักร” เอาตรงๆ นี่แหละหัวใจที่ข้อสอบ CIA Part 1 Study Unit 2 ชอบขุดมาหลอก เพราะจานอื่นๆ ในเมนูหน้าตาคล้าย assurance มาก แต่มันไม่ใช่
ตอนที่แล้วเราเอา control ลงหน้างานจริง — แยกหน้าที่ authorize/record/custody เดินเข้าวงจรขาย-รับเงิน-จ่ายเงิน-payroll แล้วปิดด้วยกรอบแม่บทอย่าง COSO 5 องค์ประกอบกับ COBIT ครบเรื่อง risk กับ control แล้ว ตอนนี้เลยกางเมนูได้เต็มๆ ว่ากองผู้ตรวจการรับทำงานอะไรได้บ้าง เริ่มจากจานหลัก — assurance
โครงของบท
- Assurance คืออะไร และทำไมมันไม่ใช่ advisory — เส้นแบ่งอยู่ที่ “ความเห็นเป็นทางการ” กับ “ใครกำหนดขอบเขต”
- RCSA (การประเมินความเสี่ยงและการควบคุมด้วยตนเอง) — สี่ format สามแนวทาง และใครเป็นเจ้าของกันแน่
- Contract audit / third-party audit — กับดักซ่อนอยู่ในวิธีจ่ายเงินของสัญญาแต่ละแบบ
- Quality audit — ป้องกันที่ต้นทาง ไม่ใช่ตรวจจับปลายทาง
- Security & privacy audit — ผู้ตรวจ “ประเมิน” ไม่ใช่ “เป็นเจ้าของ”
- Performance audit — balanced scorecard สี่ช่อง กับ SWOT ที่ต้องแยกในนอกให้ถูก
จานหลัก: assurance ต่างจาก advisory ตรงไหน
เริ่มจากคำถามที่ดูเหมือนง่ายแต่ทำคนตกกันเยอะ assurance กับ advisory ต่างกันยังไง
ลองคิดดูนะครับ กองผู้ตรวจการทำได้สองแบบ แบบแรกคือเดินเข้าไปดูกระบวนการของสาขา เก็บหลักฐาน (evidence) อย่างเที่ยงธรรม แล้วออก ข้อสรุปอย่างเป็นทางการ (engagement conclusion) ว่ากระบวนการนี้ดีพอไหม ความเสี่ยงถูกคุมอยู่ในระดับที่รับได้หรือเปล่า อันนี้แหละคือ assurance (การให้ความเชื่อมั่น) จานหลักของร้าน
แบบที่สองคือผู้จัดการสาขาเดินมาหาเองว่า “ช่วยแนะนำหน่อยว่าจะปรับ workflow ยังไงดี” กองก็ไปนั่งคุย ไปช่วย facilitate ไปเทรนให้ ไปเสนอ recommendation อันนี้คือ advisory (งานให้คำแนะนำ ในซีรีส์นี้เราจะเรียก advisory ตามศัพท์ใหม่ ไม่ใช่ consulting แบบเดิม)
เส้นแบ่งที่คมที่สุดมีสองเส้น จำสองเส้นนี้ไว้แล้วข้อสอบจับเราไม่ได้:
- ใครกำหนดขอบเขต + ส่งมอบอะไร — งาน assurance ผู้ตรวจสอบภายในเป็นคนกำหนดขอบเขตเอง (nature and scope) แล้วส่งมอบ “ความเห็นที่เที่ยงธรรมต่อ governance ความเสี่ยง และการควบคุม” ส่วน advisory ตกลงขอบเขตกับฝ่ายที่มาขอ แล้วส่งมอบแค่ “คำแนะนำ / การเทรน / การ facilitate”
- หัวใจของ assurance คือความเห็นอิสระ ไม่ใช่ recommendation — ถ้าเจอตัวเลือกที่บอกว่า “assurance ให้ recommendation เพื่อปรับปรุงกระบวนการ” ให้ระวังไว้เลย เพราะ recommendation คือลายเซ็นของ advisory ไม่ใช่ assurance
⚠️ กับดัก: ข้อสอบชอบเอาคำว่า training, facilitation, consultative, nonbinding advice, การช่วยทำภาษี/บัญชี, “suggestions ที่ไม่มีข้อสรุปเป็นทางการ” มาปลอมเป็น assurance ทั้งหมดนี้คือ advisory ล้วนๆ trigger word ที่โผล่มาแล้วต้องเลือก assurance คือคำว่า formal, independent validation, formal opinion พอ stem บอกว่าต้องการ “การยืนยันอย่างเป็นทางการและเป็นอิสระ” ก็ตอบ assurance ได้เลย กลับกัน ถ้า verb หัวประโยคของตัวเลือกคือ recommend / advise / train / facilitate ต่อให้ห่อด้วยคำหรูแค่ไหน มันก็คือ advisory
แล้วอย่าลืมพวก ตัวเลือกดักที่ absolute เกินจริง เช่น “ไม่มีวันมีการรั่วไหลเลย”, “บริหารงาน operation โดยตรง”, “ให้คำแนะนำทางกฎหมาย” — พวกนี้ไม่ใช่งานของ internal audit เลยสักอย่าง ตัดทิ้งได้เลย
มุมเถ้าแก่/สภา: ทำไมสภาต้องแคร์เส้นแบ่งนี้ ก็เพราะถ้ากองไปนั่งออกแบบ control ให้สาขาเอง (advisory) แล้ววันหลังกลับมาตรวจ control ตัวเดิม (assurance) มันก็เหมือนตรวจการบ้านที่ตัวเองเขียน ความเชื่อมั่นที่สภาจ่ายเงินซื้อก็หมดค่าทันที สภาถึงอยากให้แยกให้ชัดว่าจานไหนคือจานไหน
มุมผู้ตรวจ (คนสอบ): จำระดับความเชื่อมั่นสองระดับไว้ด้วย reasonable assurance ให้ความเชื่อมั่นระดับสูง (แต่ไม่ absolute) มีขั้นตอนตรวจสอบรองรับเต็มที่ ส่วน limited assurance ให้ความเชื่อมั่นต่ำกว่า เพราะขั้นตอนถูกจำกัด อย่าเผลอตอบว่า assurance ให้ความมั่นใจแบบสัมบูรณ์ 100% เด็ดขาด ไม่มีงานตรวจไหนกล้าพูดแบบนั้น
สามฝ่าย ไม่ใช่สองฝ่าย และสภาไม่ได้อยู่ในห้อง
อีกจุดที่ข้อสอบเล่นบ่อยคือ “งาน assurance มีกี่ฝ่าย” คำตอบคือ สามฝ่าย
- process owner — เจ้าของกระบวนการที่ถูกตรวจ (activity under review)
- internal auditor — ผู้ตรวจสอบภายในที่ลงมือประเมิน
- user — คนที่เอาผลไปใช้ตัดสินใจ
⚠️ กับดัก: ตัวเลือกยอดฮิตคือ “สองฝ่าย: process owner + auditor” ซึ่งผิด เพราะลืม user ไป (สองฝ่ายคือโครงสร้างของ advisory ต่างหาก ที่มีแค่ผู้แนะนำกับผู้รับคำแนะนำ) อีกตัวคือ “สี่ฝ่าย รวม board ด้วย” ก็ผิด เพราะ board (สภา) เป็นผู้กำกับดูแลระดับบน ไม่ได้ลงมาเป็นคู่สัญญาในงานตรวจโดยตรง และถ้าถามว่า “ใครกำหนด nature และ scope ของงาน assurance” คำตอบคือ ผู้ตรวจสอบภายใน ไม่ใช่ board ไม่ใช่ผู้บริหาร ไม่ใช่ engagement client — เพราะถ้า client เป็นคนตกลง scope เมื่อไหร่ นั่นคือสัญญาณของ advisory แล้ว
เมนูย่อยของ assurance: แยกประเภทตามเนื้อ ไม่ใช่ตามคำที่ฟังดูใกล้
จานหลัก assurance ยังแตกออกเป็นเมนูย่อยตามเนื้องาน จุดที่ข้อสอบหลอกคือมันโยน trigger word มาให้ แล้วเราต้องจับให้ถูกช่อง
- operational (performance) assurance — ดูประสิทธิภาพ/ประสิทธิผลของ “หน้าที่งาน” (function) เช่น คุณภาพสินค้า บริการลูกค้า การป้องกันการทุจริต (fraud) นโยบายสินเชื่อ
- technology assurance — ดู IT, โครงสร้างพื้นฐาน, IT governance, cloud เป้าหมายคือความน่าเชื่อถือของข้อมูล (integrity of information)
- compliance assurance — ดูการปฏิบัติตามกฎหมาย ระเบียบ สัญญา นโยบาย
- financial assurance — ดูกิจกรรมที่วัดและรายงานผ่านระบบบัญชี
⚠️ กับดัก: อันที่โดนหลอกบ่อยสุดคือ “การป้องกันการทุจริต” (fraud prevention) — มันฟังดูเหมือนเรื่อง compliance หรือ governance แต่จริงๆ มันคือ operational เพราะมันคือประสิทธิผลของหน้าที่งานหนึ่ง อีกตัวคือ “IT governance” ที่ถูกดึงไปหา operational ด้วยคำว่า “appraise efficiency” ซึ่งผิด เพราะการกำกับดูแล IT คือ technology ส่วนคำว่า “governance” ที่ถูกเสนอมาเป็น “ประเภทงานตรวจ” นั่นเป็นตัวหลอกล้วนๆ เพราะ governance คือโครงสร้างที่ IA เข้าไปตรวจ ไม่ใช่หมวดของงาน assurance และ “การทบทวนนโยบายสินเชื่อ” ที่โดนติดป้าย compliance/financial จริงๆ คือ operational (ประสิทธิภาพของหน้าที่งาน)
RCSA: ให้พนักงานประเมินตัวเอง แต่ห้ามให้เขาเป็นเจ้าของ
เมนูถัดมาคือ risk and control self-assessment (RCSA) หรือการประเมินความเสี่ยงและการควบคุมด้วยตนเอง (บางที่เขียนสั้นว่า CSA) แนวคิดคือ แทนที่ผู้ตรวจจะเดินไปนั่งเก็บข้อมูลเองทุกซอกทุกมุม ก็ให้คนที่ทำงานในกระบวนการนั้นจริงๆ มาช่วยประเมินความเสี่ยงและการควบคุมของหน่วยตัวเอง เหมือนให้ลูกจ้างในครัวช่วยเช็คว่าเตาแก๊สรั่วตรงไหน เพราะเขาอยู่หน้าเตาทุกวัน รู้ดีกว่าคนที่เดินผ่านมาปีละครั้ง
มุมเถ้าแก่/สภา: RCSA ช่วยเถ้าแก่เพราะมัน “ตอกย้ำ” ว่าการดูแลความเสี่ยงและการควบคุมเป็นหน้าที่ของ ฝ่ายบริหาร ไม่ใช่ของกองผู้ตรวจ ผู้จัดการเลิกโยนความรับผิดชอบให้ “ผู้เชี่ยวชาญ” แล้วหันมาเป็นเจ้าของเอง คนหน้างานรู้สึกมีส่วนร่วม (ownership) การแก้ไขก็เร็วและตรงจุดกว่า
มุมผู้ตรวจ (คนสอบ): ข้อสอบเจาะสองเรื่อง — format (รูปแบบ workshop) กับ approach (แนวทางเก็บข้อมูล) อย่าสับสนกันเด็ดขาด
สี่ format จำคำเดียวต่อรูปแบบ
Workshop แบบ facilitate มีสี่ format แต่ละอันมี “คำ” ประจำตัวอยู่คำเดียว จับคำนั้นให้ได้ก็พอ
- objective-based — “วิธีที่ดีที่สุดในการบรรลุวัตถุประสงค์” เริ่มจากดู control ที่มีอยู่แล้วไล่ไปหา residual risk (ความเสี่ยงคงเหลือ)
- risk-based — “ไล่ลิสต์อุปสรรค ภัยคุกคาม สิ่งกีดขวางทั้งหมดก่อน” แล้วค่อยดูว่า control พอจัดการไหม
- control-based — facilitator ระบุ key control ก่อน เริ่ม workshop แล้วในห้องก็วัดว่า control ทำงานตรงกับที่ฝ่ายบริหารคาดหวังไหม (ดูช่องว่างระหว่างของจริงกับที่คาด)
- process-based — ดู “ห่วงโซ่ของกิจกรรม” ตั้งแต่ต้นจนจบ เช่น ขั้นตอนจัดซื้อ หรือการพัฒนาสินค้า
⚠️ กับดัก: คู่ที่โดนสลับกันบ่อยสุดคือ objective-based กับ control-based — จำง่ายๆ ว่า objective-based เริ่มจาก control ที่มีอยู่ เพื่อไปหาความเสี่ยงคงเหลือ ส่วน control-based เริ่มจาก key control ที่ facilitator เลือกไว้ก่อน เพื่อวัดช่องว่างระหว่างการออกแบบกับของจริง และถ้า stem ไหนพูดว่า “ลิสต์ barrier / obstacle / threat ทั้งหมดก่อน” อันนั้น risk-based เสมอ ไม่ใช่ process ไม่ใช่ control ส่วนคำว่า “facilitator ระบุ control ก่อน workshop” คำว่า “ก่อน” นี่แหละคือลายเซ็นเฉพาะของ control-based
สามแนวทาง ไม่ใช่สี่
RCSA มีแนวทางเก็บข้อมูล สามแบบเท่านั้น
- facilitation (workshop) — เอา work team หลายระดับมานั่งประชุมพร้อมกัน เหมาะเมื่ออยากได้มุมมองจากเจ้าของกระบวนการโดยตรง
- survey (questionnaire) — ใช้แบบสอบถาม yes/no เหมาะเมื่อคนตอบเยอะและกระจายตัว หรืออยากประหยัดเวลาและต้นทุน หรือวัฒนธรรมองค์กรไม่เปิดให้คุยกันตรงๆ ในที่ประชุม
- self-certification — ฝ่ายบริหาร เป็นคนทำบทวิเคราะห์เอง แล้วผู้ตรวจแค่เอามาสังเคราะห์รวมและแบ่งปันความรู้ต่อ
⚠️ กับดัก: ข้อสอบชอบปลอม approach ขึ้นมาสองอันที่ ไม่มีจริง คือ “auditor-produced analysis” (บทวิเคราะห์ที่ผู้ตรวจทำเอง) และ “cost-benefit analysis” — เจอปุ๊บตัดทิ้งปั๊บ และถ้า stem บอกว่า “อยากลดเวลาและต้นทุน” หรือ “คนตอบเยอะกระจายตัว” หรือ “วัฒนธรรมไม่เปิดให้คุยเปิดอก” ทั้งสามคำนี้ชี้ไปที่ survey ไม่ใช่ workshop เพราะ workshop กินเวลาและแพงกว่า อย่าเผลอเลือก workshop เป็นคำตอบของ “ประหยัดต้นทุน” เด็ดขาด และจำไว้ว่า self-certification คือ ฝ่ายบริหารผลิตบทวิเคราะห์ ไม่ใช่ผู้ตรวจ อย่ายกเครดิตให้ผู้ตรวจผิดคน
พนักงานประเมินได้ แต่ไม่เที่ยงธรรม และไม่ใช่เจ้าของ
ประเด็นสุดท้ายของ RCSA ที่ข้อสอบเจาะลึกคือ “บทบาทและความเป็นเจ้าของ”
⚠️ กับดัก: ตัวเลือกที่บอกว่า “พนักงานจะกลายเป็นคนเที่ยงธรรม/เป็นอิสระต่องานตัวเอง” คือ ผิด เพราะพนักงานไม่มีมุมมองแบบนั้น เหตุผลจริงที่ดึงพนักงานเข้ามาคือ แรงจูงใจและความรู้สึกเป็นเจ้าของ (motivation/ownership) ไม่ใช่ objectivity ไม่ใช่ independence และไม่ใช่การลดต้นทุน อีกตัวหลอกคือ “RCSA ตอกย้ำความรับผิดชอบของ ผู้ตรวจ ต่อ control”: ผิด มันตอกย้ำความรับผิดชอบของ ฝ่ายบริหาร ต่างหาก และตัวเลือกที่บอกว่า “การทดสอบของ audit จะถูกยกเลิกไปเลย” หรือ “RCSA อยู่ใต้การควบคุมของ internal audit” ก็ผิดทั้งคู่ เพราะผู้ตรวจยังต้อง verify (สอบทานยืนยัน) ว่า control มีอยู่จริงและทำงานจริง (แค่ “ลด” การทดสอบ ไม่ใช่ “เลิก”) และตัว RCSA รันโดยฝ่ายบริหาร/work team ไม่ใช่กองผู้ตรวจ
ส่วนถ้าถามถึง ข้อเสียที่สำคัญที่สุด ของ RCSA ที่ให้ผู้จัดการประเมินเอง คำตอบคือ ผู้จัดการอาจไม่มีทักษะด้านความเสี่ยง/การควบคุมมากพอ เลย มองข้ามจุดอ่อนสำคัญ ไป — ไม่ใช่เรื่องงบประมาณ ไม่ใช่การยกเลิก audit ในอนาคต ใครกำกับดูแลการวางระบบ ความเสี่ยง และการควบคุมภาพรวม? คำตอบคือ senior management (board กับ senior management รับผิดชอบ) ส่วนผู้จัดการหน่วยงานประเมินหน่วยตัวเอง แต่ทั้งพนักงานและผู้ตรวจไม่ใช่เจ้าของความเสี่ยงนั้น
Contract audit: กับดักซ่อนอยู่ในวิธีจ่ายเงิน
เมนูถัดมาคืองานตรวจสัญญาและตรวจ third party ลองนึกภาพเถ้าแก่จ้างผู้รับเหมามาสร้างสาขาใหม่ กองผู้ตรวจต้องเข้าไปดูว่า “ผู้รับเหมาทำตามสัญญาไหม” แค่นั้น ไม่ใช่ไปสอดส่องเรื่องภายในของผู้รับเหมา
หัวใจที่ข้อสอบเล่นคือ ความเสี่ยงมันติดตัวมากับวิธีจ่ายเงินของสัญญาแต่ละแบบ จับคู่ให้ถูก
- cost-plus (จ่ายตามต้นทุน + ค่าตอบแทนคงที่หรือเปอร์เซ็นต์) → ผู้รับเหมา ไม่มีแรงจูงใจคุมต้นทุน จึงเสี่ยงที่จะดันต้นทุนให้สูงเกินจริง เช่น เบิกค่าอุปกรณ์ที่ไม่ได้ใช้จริง วิธีคุมคือ กำหนดเพดานต้นทุน + แบ่งเงินที่ประหยัดได้ร่วมกัน
- unit-price (จ่ายตามหน่วยงาน เช่น ชั่วโมงคน ลูกบาศก์เมตรของดินที่ขุด) → เสี่ยงที่จะ ดันปริมาณงานให้สูงเกินจริง ต้องเฝ้าดูการวัดปริมาณ
- lump-sum (fixed-price) → ใช้เมื่อความต้องการ นิยามชัดเจนแล้ว เป็นแบบที่ผู้ตรวจมีอะไรให้ตรวจด้านต้นทุนน้อยที่สุด
⚠️ กับดัก: ตัวหลอกคลาสสิคคือเอาความเสี่ยงของ cost-plus (“เบิกค่าอุปกรณ์ที่ไม่ได้ใช้”) ไปแปะกับโจทย์ที่เป็น unit-price ซึ่งผิดช่อง เพราะ unit-price เสี่ยงเรื่องปริมาณงาน ไม่ใช่เรื่องต้นทุนอุปกรณ์ อีกตัวคือเอากลไกของ unit-price (“ราคาต่อหน่วยที่ตกลงกัน”) ไปเสนอเป็นวิธีแก้ปัญหาต้นทุนบานของ cost-plus — ก็ผิดช่องอีก และระวังตัวหลอกเรื่องบัญชี/ภาษี (ภาษีเงินได้จากค่าเสื่อม ภาษีเงินเดือนที่ลืมหัก) ที่ไม่เกี่ยวอะไรกับการเบิกเกินในสัญญาเลย ถ้า stem ถามว่า “สัญญาแบบไหนน่ากังวลสุดเรื่องขาดความประหยัด/ประสิทธิภาพ” คำตอบคือ cost-plus ไม่ใช่ fixed-price ที่คุมง่าย
สัญญาที่นิยามชัด vs สิ่งที่ contract audit ครอบคลุมจริง
⚠️ กับดัก: ตัวเลือกที่เอา “เรื่องภายในของผู้รับเหมา” มาปลอมเป็นขอบเขต contract audit เช่น ผู้รับเหมามีสายด่วนแจ้งทุจริตไหม จ้างพนักงานกี่คน ซื้อวัตถุดิบจากไหน — พวกนี้เป็นเรื่องที่ผู้รับเหมาตัดสินใจเอง เว้นแต่สัญญาระบุไว้ ให้ตัดทิ้ง อีกกลุ่มคือเอา งานตรวจประเภทอื่น มาปลอม เช่น ของเสียอันตราย (environmental), เหตุผลทางธุรกิจ (due-diligence), ความปลอดภัยข้อมูลส่วนบุคคล (privacy) พวกนี้ไม่ใช่ contract audit สิ่งที่ contract audit ดูจริงคือ “ก่อสร้างตามกำหนดเวลาไหม จ่ายเงินตามความคืบหน้าถูกต้องไหม” คือ ทำตามสัญญาหรือเปล่า เท่านั้น และถ้าถามว่าในสัญญา lump-sum อะไรที่ ไม่จำเป็นต้องตรวจละเอียด คำตอบคือ “งานที่ทำเสร็จตามสัญญา” เพราะผู้ตรวจมีอะไรให้ประเมินน้อยและมักไม่มีความเชี่ยวชาญเทคนิคด้านนั้น
เรื่องการจ้าง third party ทำงานแทน (เช่น outsource งานประมวลผลข้อมูลให้ external service provider หรือ ESP) จุดสำคัญคือ ESP ถือเป็น ส่วนขยายขององค์กร control ของมันกลายเป็นส่วนหนึ่งของ control เรา ความเสี่ยงด้านการควบคุม (control risk) เลยสูงขึ้น สิ่งที่ต้องทำคือ สอบทาน control ทั้งสองฝั่ง คือทั้งขององค์กรและของ ESP และถ้ามีรายงานการควบคุม (เช่น SOC report) ก็ต้องสอบทานรายงานนั้น พร้อมประเมินว่าผู้สอบบัญชีภายนอกของ ESP น่าเชื่อถือพอจะพึ่งพาได้ไหม ⚠️ กับดัก: ตัวเลือก “สอบทานเฉพาะ control ขององค์กรฝั่งเดียว”, “ดูแค่ผู้สอบภายนอกของ ESP”, หรือ “ยกเลิกงานไปเลย” ผิดหมด ห้ามดูฝั่งเดียว และห้ามยกเลิก
รายละเอียดเชิงลึกของการตรวจ third party ตาม Topical Requirement ใหม่ — ตั้งแต่วงจร select-contract-onboard-monitor-offboard ไปจนถึงการจัดลำดับความเสี่ยงของ third party ที่อยู่ปลายน้ำหลายชั้น เดี๋ยวมีตอนเจาะลึกเรื่องนี้โดยเฉพาะ ตอนนี้จำแค่แกนว่า “องค์กรหลักยังต้องรับผิดชอบต่อความเสี่ยงเสมอ แม้จ้าง third party ไปแล้ว”
Quality audit: ป้องกันที่ต้นทาง ไม่ใช่ตรวจจับปลายทาง
เมนูคุณภาพนี้มีปรัชญาชัดมาก และข้อสอบเล่นตรงปรัชญานี้เลย
มุมมองแบบเดิมมองว่าคุณภาพคือการ ตรวจจับของเสียตอนปลายสายการผลิต แล้วเอาไปทำใหม่ (rework) แต่พอถึงจุดนั้นต้นทุนก็จมไปแล้ว ส่วนมุมมองสมัยใหม่คือ total quality management (TQM) ทำให้ถูกตั้งแต่แรก ป้องกันที่ต้นทาง ออกแบบสินค้าให้ของเสียเกิดยากตั้งแต่ต้น มองคุณภาพเป็นกิจกรรมที่ เพิ่มมูลค่า ไม่ใช่แค่การคัดของเสีย
⚠️ กับดัก: ตัวเลือกที่แต่งตัวเป็นคุณภาพแต่จริงๆ คือ “การตรวจจับ” ล้วนๆ เช่น “ผู้ตรวจที่ผ่านการอบรมมาอย่างดีคอยตรวจปลายสายการผลิต”, “เอาของเสียมาทำใหม่ก่อนขาย”, “ปรับเครื่องจักรเพื่อลดของเสีย”, “คุณภาพเกิดจากการตรวจครั้งสุดท้าย” — ทั้งหมดนี้คือมุมมองแบบเดิม = คำตอบผิด ที่ต้องเลือกคือ “ออกแบบให้ถูก / สร้างคุณภาพเข้าไปในกระบวนการ / จับและแก้ที่ต้นทาง / ทำให้ถูกในครั้งแรก” และระวัง cross-angle: บาง stem ถามถึง “มุมมองสมัยใหม่” แล้วเอาตัวเลือก “การตรวจจับ” มาให้ อันนั้นคือมุมมองดั้งเดิม = ตอบผิด ต้องเลือกตัวที่พูดเรื่องการเพิ่มมูลค่า/การป้องกัน
อีกชั้นที่ลึกกว่าคือคำถามแบบ BEST/PRIMARY/EMPHASIS ⚠️ กับดัก: มันจะเอา “ผลพลอยได้จริงของ TQM” มาปลอมเป็นเป้าหมายหลัก เช่น ลดจำนวนพนักงาน หนุนเงินปันผลผู้ถือหุ้น กระทบกำไรทางอ้อม เป็นผู้ผลิตต้นทุนต่ำสุด ทั้งหมดเป็น “ผล” ไม่ใช่ “เป้าหมายหลัก” และ benchmarking (การลอกองค์กรชั้นนำ) เป็นแค่ เครื่องมือหนึ่ง ไม่ใช่จุดหมาย ส่วน metric เรื่องต้นทุนคุณภาพเป็นแค่ ตัวชี้วัด ไม่ใช่หลักการแกน เป้าหมายหลักจริงๆ คือ คุณภาพต่อเนื่องเพื่อลูกค้า ทำให้ถูกตั้งแต่แรก และให้ ทุกคน มีส่วนร่วม
จุดสุดท้ายของ quality: ลูกค้าคือหัวใจ ทั้งภายในและภายนอก ⚠️ กับดัก: ตัวหลอกคือนิยาม “ลูกค้า” แคบเกินไป คือ “เฉพาะคนภายนอกที่ซื้อสินค้า” หรือ “เฉพาะคนภายในที่ใช้สินค้า” — ผิดทั้งคู่ เพราะลูกค้าหมายถึงทั้งภายในและภายนอก คนในองค์กรที่ต้องพึ่งงานของคนอื่นเพื่อทำงานตัวเองก็คือลูกค้า และอย่าหลงตัวหลอกที่ดึงไปหา supplier (“เริ่มจากความต้องการของ supplier ภายใน”, “ใส่ใจความพอใจของ supplier”) เพราะ TQM เริ่มจากความต้องการของลูกค้าภายนอก ก่อน ส่วนโครงสร้างการทำงานก็ต้องเป็น ทีมข้ามสายงาน ไม่ใช่ลำดับชั้น ไม่ใช่ผู้เชี่ยวชาญทำงานเดี่ยวๆ
Security & privacy audit: ผู้ตรวจประเมิน ไม่ใช่เจ้าของ
เมนูความปลอดภัยและความเป็นส่วนตัว มีกฎเหล็กข้อเดียวที่คุมทุกอย่าง คือ internal audit function ประเมิน/ติดตาม/สอบทาน แต่ไม่เป็นเจ้าของ
มุมเถ้าแก่/สภา: ความรับผิดชอบต่อความน่าเชื่อถือและความครบถ้วนของข้อมูล (information reliability and integrity) เป็นของ ฝ่ายบริหาร ส่วน board (สภา) เป็นผู้กำกับดูแล เป็นผู้รับผิดชอบสูงสุดในการวาง privacy framework (กรอบการคุ้มครองข้อมูลส่วนบุคคล) และ CAE เป็นคนตัดสินว่าจะมีการแจ้งเตือนเรื่องการรั่วไหล และประเมินว่าทรัพยากรของกองพอไหม
⚠️ กับดัก: จับ verb ให้ตรงตัวคน —
- ตัวเลือกที่ให้ internal audit “รับผิดชอบต่อความน่าเชื่อถือ/ความครบถ้วนของข้อมูล หรือรับผิดชอบต่อตัวข้อมูล” → ผิด นั่นคือหน้าที่ ฝ่ายบริหาร เสมอ ไม่เคยเป็นของ IA
- ตัวเลือกที่ให้ IA “กำกับดูแลและ governance” → ผิด นั่นคือหน้าที่รับผิดชอบของ board
- ตัวเลือกที่ให้ IA “ออกแบบ/ติดตั้ง control เอง” หรือ “ยื่นรายงานตามที่หน่วยงานราชการกำหนด” → ผิด การติดตั้งเป็นงานฝ่ายบริหาร ส่วนการยื่นรายงานตามกฎหมายอยู่นอกขอบเขต IA
- ตัวเลือกที่ให้ IA “แจ้ง board เรื่องการรั่วไหลเป็นหน้าที่ประจำ” → ผิด CAE เป็นคนตัดสินว่าจะมีการแจ้ง IA แค่รายงานการรั่วไหลที่บังเอิญตรวจเจอ
สิ่งที่เป็นของ IA จริงๆ คือกริยากลุ่ม ประเมินความเสี่ยง สอบทาน control ติดตามการแก้ไข ประเมินแนวปฏิบัติเป็นระยะ ให้ recommendation พิจารณาเขตอำนาจศาล/กฎหมายที่เกี่ยวข้อง และถ้า stem ถามถึงบทบาทของ board โดยเฉพาะ คำตอบคือระดับสูง (วาง privacy framework) ส่วนงานละเอียด (ระบุว่ามีการเก็บข้อมูลอะไร เก็บด้วยวิธีไหน ใช้ถูกกฎหมายไหม) เป็นของ IA
สอดส่อง vs ดักฟัง — คู่ที่ข้อสอบชอบสลับ
Privacy แบ่งเป็นสี่ประเภท ต้องจำการจับคู่ให้เป๊ะ เพราะข้อสอบจะสลับสองตัวกลางให้เรา
- privacy of space = อิสระจากการ สอดส่อง (surveillance) — เฝ้าดูสถานที่/ตัวบุคคล
- privacy of communication = อิสระจากการ ดักฟัง/ติดตาม (monitoring) — ดักการสื่อสาร
- personal privacy = ทางกายภาพและจิตใจ
- privacy of information = การเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล
⚠️ กับดัก: ตัวหลอกจะเอา “อิสระจากการ monitoring” ไปวางเป็น privacy of information หรือ personal ซึ่งผิด มันคือ privacy of communication และเอา “อิสระจากการ surveillance” ไปวางเป็น communication — ผิด มันคือ privacy of space จำแกนสั้นๆ ว่า พื้นที่ = สอดส่อง, สื่อสาร = ดักฟัง แล้วอ่านโจทย์ตามแกนนี้ ในโจทย์แบบจับคู่ term/example สามในสี่คู่จะจับผิดตั้งใจ ให้เลือกคู่เดียวที่ตัวอย่างตรงกับ term (space ↔ surveillance)
Performance audit: สี่ช่องต้องใส่ให้ถูก
เมนูสุดท้ายคือ performance audit ที่วัด “ผลสำเร็จ” ขององค์กร ไม่ใช่ตรวจงบการเงิน เครื่องมือหลักคือ balanced scorecard กับ SWOT analysis
Balanced scorecard แบ่งเป็นสี่มุมมอง งานของเราคือคัดตัววัดแต่ละอันให้ลงช่องเดียวที่ถูก
- Financial — ผลลัพธ์ที่เป็นเงินให้เจ้าของ เช่น ยอดขาย กำไร EVA สภาพคล่อง
- Customer — คนภายนอกมองเรายังไง เช่น ส่วนแบ่งตลาด กลุ่มตลาดเป้าหมาย การส่งมอบตรงเวลา ความพอใจลูกค้า
- Internal — กระบวนการที่เรารันเอง เช่น cycle time, manufacturing lead time, productivity
- Learning, growth & innovation — คนของเราและนวัตกรรม เช่น อัตราการลาออกของพนักงาน ความพึงพอใจพนักงาน การอบรม ขวัญกำลังใจ การพัฒนาสินค้าใหม่
⚠️ กับดัก: ของที่เกี่ยวกับ คน (การลาออก ความพอใจพนักงาน การรักษาพนักงาน การอบรม นวัตกรรม) ชอบโดนใส่ผิดเป็น Internal แต่จริงๆ มันคือ Learning & Growth ของที่หันหน้าออกนอก (ส่วนแบ่งตลาด การส่งมอบ ความพอใจลูกค้า) โดนใส่ผิดเป็น Internal หรือ Financial แต่จริงๆ คือ Customer ของที่เป็นกระบวนการภายใน (cycle time, lead time) ถูกดึงไปหา Customer หรือ Financial แต่จริงๆ คือ Internal และของที่เป็นผลลัพธ์เงิน (ยอดขายโต, EVA, กำไร) ถูกเรียกว่า nonfinancial — จริงๆ คือ Financial
อีกชั้นที่ลึกกว่าคือ “ตัววัด vs เหตุผล” ⚠️ กับดัก: เป้าใน scorecard ต้อง เจาะจงและวัดได้เป็นตัวเลข สโลแกนคลุมเครือ (“ลูกค้าถูกเสมอ”, “รักษาทัศนคติที่ดี”, “จัดการเรื่องร้องเรียนอย่างรวดเร็ว”) ฟังดูเป็นมิตรกับลูกค้าแต่วัดไม่ได้ ส่วนสิ่งที่ ทำให้เกิด ความพอใจ (เครื่องบินตรงเวลา รอเช็คกระเป๋าไม่นาน เปลี่ยนเมนูที่ไม่โดน) เป็นแค่ “เหตุผล” ของความพอใจ ไม่ใช่ “ตัววัด” ของมัน คำตอบที่ถูกคือเป้าที่นับได้ชัดๆ เช่น ตอบทุกคำถามภายใน 7 วัน, เรื่องร้องเรียนลดลง 10%, ได้เรตติ้ง 5 ดาวมากขึ้นแล้วนำไปสู่กำไร
เรียกชื่องานให้ถูก และ SWOT ในนอกอย่าสลับ
⚠️ กับดัก: เวลาถามว่างานนี้คือ performance audit ไหม ตัวหลอกคือ “ทบทวนงบการเงิน/การบันทึกบัญชี” (นั่นคือ financial), “ทดสอบการปฏิบัติตามนโยบาย กฎหมาย ระเบียบ” (นั่นคือ compliance), “ข้อมูลผลงานถูกนำเสนออย่างเป็นธรรม” (นั่นคืองาน attestation) คำตอบ performance ที่ถูกต้องคือตัวที่พูดเรื่อง ความประหยัด/ประสิทธิภาพ, การประเมินสภาพแวดล้อมธุรกิจและการควบคุมเทียบกับเกณฑ์, หรือการบรรลุวัตถุประสงค์/KPI ขององค์กร
ปิดท้ายด้วย SWOT ที่ใช้หาปัจจัยความสำเร็จ (critical success factor) — จุดแข็ง (strengths) กับจุดอ่อน (weaknesses) เป็นเรื่อง ภายใน คือทรัพยากร/ความสามารถขององค์กรเราเอง ส่วนโอกาส (opportunities) กับภัยคุกคาม (threats) เป็นเรื่อง ภายนอก คือปัจจัยมหภาค/อุตสาหกรรม ⚠️ กับดัก: ตัวหลอกคือสลับแกน (เรียก opportunities/threats ว่าภายใน หรือเรียก strengths/weaknesses ว่าภายนอก) และเอาปัจจัยมหภาค (เศรษฐกิจ การเมือง กฎหมาย เทคโนโลยี อำนาจต่อรองของ supplier) ไปติดป้ายเป็นจุดแข็ง/จุดอ่อน ซึ่งผิด เพราะพวกนั้นขับ opportunities และ threats และเมื่อ stem บอกว่าต้องประเมินความเสี่ยง/กลยุทธ์แบบกว้างครั้งแรก (ควบรวมกิจการ ปรับโครงสร้างใหญ่ ความเสี่ยงหลายด้านผสมกัน) ให้เลือก SWOT เป็นเครื่องมือแรก อย่าไปหลงเครื่องมือแคบๆ อย่าง Pareto, Monte Carlo, risk matrix หรือ audit ด้านเดียว
ตารางกับดักรวม
| สถานการณ์ในโจทย์ | คำตอบหลอก | คำตอบจริง |
|---|---|---|
| ต้องการ “formal opinion / independent validation” | เป็น advisory เพราะให้ recommendation | assurance — ให้ความเห็นเป็นทางการ |
| งานให้ training / facilitation / คำแนะนำ | assurance | advisory |
| งาน assurance มีกี่ฝ่าย | สองฝ่าย (owner + auditor) หรือ สี่ฝ่าย (รวม board) | สามฝ่าย: process owner, internal auditor, user |
| ใครกำหนด nature และ scope ของ assurance | board / senior management / client | ผู้ตรวจสอบภายใน |
| การป้องกัน fraud จัดเป็นงานประเภทไหน | compliance / governance | operational |
| ตรวจ IT governance จัดเป็นประเภทไหน | operational (appraise efficiency) | technology |
| format ที่ facilitator ระบุ control ก่อน workshop | objective-based | control-based |
| format ที่ลิสต์ barrier/threat ทั้งหมดก่อน | process / control | risk-based |
| อยากประหยัดเวลาและต้นทุน RCSA | workshop | survey (questionnaire) |
| ใครผลิตบทวิเคราะห์ใน self-certification | ผู้ตรวจ (auditor-produced) | ฝ่ายบริหาร |
| เหตุผลดึงพนักงานร่วม RCSA | เพื่อความเที่ยงธรรม/อิสระ/ลดต้นทุน | แรงจูงใจและความเป็นเจ้าของ |
| ผลของ RCSA ต่อการ audit รอบหน้า | ยกเลิกการทดสอบทั้งหมด | ลดการทดสอบ แต่ยังต้อง verify |
| ความเสี่ยงของสัญญา unit-price | เบิกค่าอุปกรณ์ที่ไม่ได้ใช้ (cost-plus) | ดันปริมาณงานสูงเกินจริง |
| คุมต้นทุนบานของ cost-plus | กำหนดราคาต่อหน่วย | เพดานต้นทุน + แบ่งเงินประหยัด |
| จ้าง ESP outsource ต้องทำอะไร | สอบทาน control ฝั่งองค์กรฝั่งเดียว / ยกเลิกงาน | สอบทาน control ทั้งสองฝั่ง |
| มุมมองคุณภาพสมัยใหม่ | ตรวจจับของเสียปลายสายการผลิต | สร้างคุณภาพที่ต้นทาง (เพิ่มมูลค่า) |
| เป้าหมายหลักของ TQM | ลดต้นทุน / หนุนเงินปันผล / benchmarking | คุณภาพต่อเนื่องเพื่อลูกค้า ทุกคนมีส่วนร่วม |
| ”ลูกค้า” ใน TQM หมายถึงใคร | เฉพาะคนภายนอก หรือ เฉพาะคนภายใน | ทั้งภายในและภายนอก |
| ใครรับผิดชอบความน่าเชื่อถือของข้อมูล | internal audit function | ฝ่ายบริหาร |
| privacy of communication คืออิสระจาก | surveillance | monitoring (ดักฟัง) |
| privacy of space คืออิสระจาก | monitoring | surveillance (สอดส่อง) |
| อัตราการลาออกของพนักงานอยู่ช่องไหน | Internal | Learning, growth & innovation |
| cycle time อยู่ช่องไหน | Customer / Financial | Internal |
| เกณฑ์ scorecard ที่ดี | ”รักษาทัศนคติที่ดี” / “เครื่องบินตรงเวลา" | "ตอบภายใน 7 วัน / ร้องเรียนลด 10%“ |
| งานที่วัดผลสำเร็จเทียบเกณฑ์/KPI | financial / compliance / attestation | performance audit |
| จุดแข็ง-จุดอ่อน อยู่ระดับไหน | ภายนอก | ภายใน (opportunities/threats = ภายนอก) |
| เครื่องมือแรกประเมินความเสี่ยงกว้างๆ | Pareto / Monte Carlo / risk matrix | SWOT |
สิ่งที่จดสำหรับวันสอบ
- assurance = formal opinion + ผู้ตรวจกำหนด scope เอง; advisory = recommendation + client ตกลง scope เจอ verb recommend/train/facilitate = advisory เสมอ
- สามฝ่าย ของ assurance: process owner + internal auditor + user (ไม่มี board) และผู้ตรวจกำหนด nature/scope
- fraud prevention = operational, IT governance = technology, governance เดี่ยวๆ = ตัวหลอก
- RCSA สี่ format: objective (control→residual risk), risk (ลิสต์ threat ก่อน), control (facilitator เลือก control ก่อน), process (ห่วงโซ่กิจกรรม)
- RCSA สามแนวทาง: facilitation / survey / self-certification — “auditor-produced” กับ “cost-benefit” ปลอม; ประหยัดต้นทุน = survey
- พนักงานร่วม RCSA เพราะ ownership/motivation ไม่ใช่ objectivity; ผู้ตรวจยัง verify เสมอ; ฝ่ายบริหารเป็นเจ้าของ control
- cost-plus → ดันต้นทุน (แก้ด้วยเพดาน+แบ่งเงินประหยัด); unit-price → ดันปริมาณ; lump-sum → ใช้เมื่อ spec ชัด
- contract audit = “ทำตามสัญญาไหม” เท่านั้น; ESP = ส่วนขยายองค์กร ต้องดู control ทั้งสองฝั่ง
- TQM = ป้องกันต้นทาง ทำถูกครั้งแรก เพิ่มมูลค่า; เป้าหมายหลัก = คุณภาพเพื่อลูกค้า (ภายใน+ภายนอก) ไม่ใช่ต้นทุน/benchmarking
- security/privacy: IA ประเมิน เท่านั้น — ฝ่ายบริหารเป็นเจ้าของข้อมูล, board วาง framework, CAE ตัดสินเรื่องแจ้งเตือน+ทรัพยากร
- privacy: พื้นที่=สอดส่อง (surveillance), สื่อสาร=ดักฟัง (monitoring) — อย่าสลับ
- balanced scorecard สี่ช่อง: เงิน=Financial, คนนอกมองเรา=Customer, กระบวนการเรา=Internal, คนของเรา/นวัตกรรม=Learning & Growth
- scorecard target ต้อง วัดเป็นตัวเลขได้; เหตุผลของความพอใจ ≠ ตัววัดความพอใจ
- performance audit = ความประหยัด/ประสิทธิภาพ/KPI เทียบเกณฑ์ (ไม่ใช่ตรวจงบ ไม่ใช่ compliance ล้วน)
- SWOT: S/W = ภายใน, O/T = ภายนอก; เป็นเครื่องมือ แรก ก่อนวางกลยุทธ์
- เลข Standard (เช่น 9.1) จำเจตนาพอ ไม่ต้องท่องเลข
กางเมนูภาพรวมแล้ว แต่พอลงสนามจริง งาน assurance มันแตกเป็นหลายแบบที่ข้อสอบชอบเอาชื่อมาสลับ — operational, compliance, financial และอื่นๆ ตอนหน้าเราแยกให้ขาดทีละแบบ ตอนถัดไป: งาน assurance ในสนามจริง ครับ
อ้างอิง: Gleim CIA Review (2026), Part 1 · IIA Global Internal Audit Standards (2024)