สารบัญ
ลองนึกภาพเถ้าแก่คนหนึ่งเรียกกองผู้ตรวจการของอาณาจักรเข้ามา แล้วสั่งสั้นๆ ว่า “ไปตรวจแผนกจัดซื้อให้หน่อย” แค่นี้แหละครับ ปัญหาเริ่มตรงนี้เลย เพราะคำว่า “ตรวจ” ของเถ้าแก่กับคำว่า “ตรวจ” ในหัวผู้ตรวจอาจไม่ใช่เรื่องเดียวกัน เถ้าแก่อยากรู้ว่าแผนกจัดซื้อทำงานคุ้มค่าไหม ซื้อของถูกจังหวะถูกปริมาณหรือเปล่า หรือเถ้าแก่อยากรู้ว่าแผนกนี้ทำผิดกฎอะไรไหม ซื้อของนอกระเบียบหรือเปล่า หรือจริงๆ เถ้าแก่แค่กังวลว่าตัวเลขที่ลงบัญชีมันตรงกับของจริงไหม สามคำถามนี้คนละงานกันเลยนะ ทั้งที่ปากเถ้าแก่พูดว่า “ตรวจจัดซื้อ” เหมือนกันเป๊ะ
ตอนก่อนเพิ่งแยก assurance กับ advisory ออกจากกันไป ตอนนี้เลยขอลงลึกฝั่ง assurance ต่อ ว่างานให้ความเชื่อมั่นมันมีกี่หน้า ลงสนามจริงเจออะไรบ้าง แล้วข้อสอบเอาชื่องานพวกนี้มาสลับหลอกยังไง จดไว้ก่อนไปสอบครับ
ทวนให้ชัดก่อน ตอนที่แล้วเรากางเมนูงานทั้งหมด — ลากเส้นแบ่ง assurance (มี formal opinion, สามฝ่าย) ออกจาก advisory (สองฝ่าย) แล้วไล่ RCSA, contract audit, security/privacy audit จนถึง performance audit ตอนนี้เลยขอซูมเข้าฝั่ง assurance ให้ลึก ว่าพอลงสนามจริงมันมีกี่หน้า แล้วข้อสอบเอาชื่องานพวกนี้มาสลับยังไง
โครงของบท
- Operational audit — วัดแค่ประสิทธิภาพกับประสิทธิผล ไม่แตะตัวเลขบัญชี ไม่แตะเรื่องกฎหมาย
- ในกอง operational ยังแยกอีกชั้น: process (งานประจำ) กับ program-results (กิจกรรมพิเศษที่มีทุนก้อน)
- Compliance audit — วัดว่าทำตามกฎ ระเบียบ สัญญา นโยบายไหม พร้อมเรื่องสายรายงานของช่องร้องเรียน
- Financial audit — วัดความน่าเชื่อถือของตัวเลข ต่างจากผู้สอบบัญชีภายนอกตรงไหน เจอ error แล้วทำอะไรก่อน
- Management reporting กับ culture audit — รายงานใช้ภายในล้วน และการตรวจว่าพฤติกรรมตรงกับค่านิยมที่ประกาศไหม
Operational audit: วัดว่างานเดินดีแค่ไหน จบ
เริ่มจากงานที่เจอบ่อยสุดก่อน operational audit หัวใจมันมีคำเดียวเลยจริงๆ คือประเมิน efficiency (ประสิทธิภาพ ก็คือทำได้เยอะด้วยทรัพยากรน้อย) กับ effectiveness (ประสิทธิผล ทำได้ตรงเป้าที่ตั้งไว้) ของการดำเนินงาน แค่นั้นเลย มันไม่สนใจว่าตัวเลขลงบัญชีถูกไหม ไม่สนใจว่าทำตามกฎหมายครบไหม พวกนั้นเป็นงานของกองอื่น
มุมเถ้าแก่/สภา: อุปมาง่ายๆ เถ้าแก่จ้างพ่อครัวมาคุมครัว สิ่งที่เถ้าแก่อยากรู้จากการตรวจ operational คือ “ครัวนี้ทำอาหารเร็วไหม เสียวัตถุดิบทิ้งเยอะไหม ลูกค้าได้ของตรงที่สั่งไหม” ไม่ใช่ “พ่อครัวลงบัญชีค่ากับข้าวถูกช่องไหม” — คนละเรื่อง เรื่องบัญชีนั่นอีกกองมาทำ
มุมผู้ตรวจ (คนสอบ): ตรงนี้แหละที่ข้อสอบชอบวางกับดัก โจทย์จะบอกว่านี่คือ operational audit แล้วยัด option ที่ฟังดูดีแต่ผิดกองเข้ามา เช่น “ตรวจว่ารายงานการเงินถูกต้อง” “ต้นทุนถูกบันทึกครบ” “สินค้าตีมูลค่าที่ต้นทุนหรือราคาตลาดอันไหนต่ำกว่า” “นับของจริงตรงกับที่บันทึก” — พวกนี้เป็นเป้าหมายของ financial audit ทั้งนั้น ไม่ใช่ operational บางทีก็ยัด “ทำตามกฎหมายทุกข้อ” “ตรวจจับการฝ่าฝืนกฎ” เข้ามา อันนั้นก็เป้าหมายของ compliance ที่แต่งตัวมาหลอกอีก
วิธีตัดสินก็แค่ถามตัวเองประโยคเดียว: option นี้วัดว่างานเดินดีแค่ไหน หรือวัดอย่างอื่น? ถ้าวัดว่ากระบวนการ/หน้าที่ทำงานดีแค่ไหน = operational ตอบถูก ถ้าวัดว่าตัวเลขบันทึก/ตีมูลค่า/รายงานถูกต้องไหม = financial (ผิดในโจทย์ operational) ถ้าวัดว่าทำตามกฎ ระเบียบ นโยบายไหม = compliance (ผิดเหมือนกัน)
⚠️ กับดัก: ระวังโจทย์กลับด้าน “ข้อใดไม่ใช่ตัววัด operational effectiveness” — พอเป็น NOT/except คราวนี้ตัวการเงินอย่าง return on equity (ROE) กลายเป็นคำตอบที่ถูก ส่วน productivity ratio, operating ratio ที่ปกติเป็นตัวหลอก กลับกลายเป็นตัวลวงที่เราต้องไม่เลือก ต้องอ่านหางโจทย์ให้ขาดว่าเขาถามหาตัวเข้าพวกหรือตัวนอกคอก
Process กับ program-results: งานประจำ vs กิจกรรมพิเศษมีทุน
ในกอง operational ยังแยกอีกชั้นที่ข้อสอบชอบเอามาสลับ
Process (functional) engagement คืองานที่เดินตามกระบวนการข้ามเส้นแผนก ข้ามสาขา ข้ามพื้นที่ เน้นดูว่าหน่วยงานที่เกี่ยวข้องร่วมมือกันได้ดีแค่ไหน งานพวกนี้มักยากเพราะขอบเขตกว้าง และแต่ละแผนกมักมีเป้าหมายขัดกันเอง (conflicting objectives) ตัวอย่าง process ก็เช่น จัดซื้อและรับของ การกระจายวัสดุให้หน่วยงานภายใน การปรับปรุงผลิตภัณฑ์ แนวปฏิบัติด้านความปลอดภัย การจัดการเศษของเสีย การจัดทำงบประมาณ การตลาด — สังเกตว่าทั้งหมดนี้คืองานประจำที่ทำต่อเนื่อง
Program-results engagement คนละเรื่องเลย มันคือการเก็บข้อมูลต้นทุน ผลผลิต ประโยชน์ และผลกระทบของ program — คำว่า program ตรงนี้หมายถึงกิจกรรมที่มีทุนก้อน แต่ไม่ใช่งานประจำ เช่น การขยายกิจการ การวางระบบใหม่ โครงการลดต้นทุน โครงการรักษาลูกค้าที่เพิ่งเริ่ม พวกนี้มันมีจุดเริ่มจุดจบ มีงบเฉพาะ ไม่ได้หมุนวนทุกวันแบบงานประจำ
มุมเถ้าแก่/สภา: ลองคิดดูนะครับ เถ้าแก่เปิดสาขาใหม่ที่ต่างจังหวัด ทุ่มเงินก้อนไป แล้วอยากรู้ว่า “คุ้มไหม ได้ผลตามที่หวังไหม” — นี่คือ program-results เพราะเป็นกิจกรรมพิเศษมีทุน สิ่งที่ยากคือประโยชน์บางอย่างมันวัดเป็นเงินไม่ได้ตรงๆ (เช่น ชื่อเสียงแบรนด์ในจังหวัดนั้น) ความสามารถในการวัดผลจึงเป็นข้อกังวลพิเศษของงานแบบนี้ ต้องนิยามวัตถุประสงค์และมาตรฐานให้ชัดตั้งแต่เริ่ม program
มุมผู้ตรวจ (คนสอบ): ใช้ประตูสองบานถามตามลำดับ — บานแรก “มันเป็นกิจกรรมมีทุนที่ไม่ใช่งานประจำหรือเปล่า?” ใช่ = program-results, ไม่ใช่ (เป็นงานประจำ) = process บานสอง “โจทย์เน้นลักษณะไหน?” ถ้าเน้นเป้าหมายขัดกัน/หน่วยงานร่วมมือกันข้ามแผนก = process ถ้าเน้นวัดความสำเร็จที่ประโยชน์ตีเป็นเงินยาก = program-results
⚠️ กับดัก: ข้อสอบชอบเอางานประจำมาแต่งให้ดูเหมือน program เช่น เอา “จัดซื้อรับของ” “การจัดการเศษของเสีย” “จัดทำงบประมาณ” มาถามว่าใช่ program ไหม คำตอบคือไม่ใช่ พวกนี้ process ล้วน และมีอีกกับดักที่แต่งฐานผิด เช่น “program-results เน้น effectiveness ส่วน process เน้น efficiency” — ผิด ทั้งคู่ครอบคลุมทั้ง effectiveness และ efficiency ไม่ได้แบ่งกันแบบนั้น
สี่ตัววัด: จำสูตร อย่าจำแค่ชื่อ
Operational audit ใช้ตัววัดประสิทธิภาพ/ประสิทธิผลอยู่ไม่กี่ตัว แต่ข้อสอบชอบสลับชื่อกับสูตรให้ไขว้กันมั่วไปหมด วิธีเอาตัวรอดคือจำตัวตั้ง/ตัวหาร ไว้ก่อน แล้วค่อยไปอ่านชื่อทีหลัง
- Productivity ratio = output / input (ผลผลิตเทียบกับปัจจัยนำเข้า)
- Operating ratio = ค่าใช้จ่ายดำเนินงาน / ยอดขายสุทธิ (สะท้อนประสิทธิภาพการดำเนินงานโดยรวม)
- Productivity index = จริงเทียบกับศักยภาพ (production potential — ผลิตได้เทียบกับที่ผลิตได้สูงสุด)
- Resource usage rate = การใช้ทรัพยากร / ทรัพยากรที่มีอยู่
⚠️ กับดัก: โจทย์เอา “output เป็นเปอร์เซ็นต์ของ input” ไปแปะป้ายว่าเป็น operating ratio ผิด นั่นคือ productivity ratio ไม่ใช่ operating ratio หรือเอา “ผลผลิตรวมเป็นเปอร์เซ็นต์ของศักยภาพรวม” ไปบอกว่าเป็น productivity ratio ผิด นั่นคือ productivity index หรือหยิบ “พนักงานสายตรงเป็นเปอร์เซ็นต์ของพนักงานทั้งหมด” มาบอกว่าเป็น productivity ratio — ผิด อันนั้นเป็น operating ratio (องค์ประกอบด้านกำลังคน) ถ้าจะวัด productivity ต้องเป็น output หารด้วย input เท่านั้น เช่น รายได้จากการขายเศษของเสีย หารด้วยต้นทุนในการจัดการเศษ
Compliance audit: ทำตามกฎไหม
ถัดมา compliance audit — งานตรวจว่าองค์กรทำตามกฎ ระเบียบที่กำหนดไว้ในนโยบาย กฎหมาย และสัญญาไหม คำนิยาม compliance ตามศัพท์ IIA คือการปฏิบัติตามนโยบาย ขั้นตอนปฏิบัติ กฎหมาย ระเบียบ สัญญา และข้อกำหนดอื่นๆ พูดง่ายๆ งานนี้ตั้งใจไปหาจุดฝ่าฝืนหรือจุดบกพร่อง แล้วผลักดันให้แก้ พร้อมยืนยันว่าองค์กรยังเดินอยู่ในกรอบกฎหมายและจริยธรรม
มุมเถ้าแก่/สภา: เรื่องนี้แตะกระเป๋าเถ้าแก่ตรงๆ เพราะการทำผิดกฎมันลามไปเป็นค่าปรับ คดีความ เสียชื่อเสียงได้ งาน compliance เลยช่วยกันเรื่องพวกนี้ไว้ก่อน CAE (chief audit executive — หัวหน้ากองผู้ตรวจ) ถึงกับควรไปพบหน่วยงานกำกับเองเลย เพื่อรับข้อมูลหรือคำแนะนำเรื่องการปฏิบัติตามกฎ ทำได้ดีเมื่อไหร่เถ้าแก่ก็นอนหลับสบายขึ้น
มุมผู้ตรวจ (คนสอบ): เวลาโจทย์ให้ตั้งชื่อประเภทงาน ให้จับคำสั่ง (charge) เป็นหลัก ไม่ใช่จับวัตถุที่ตรวจ ถ้าโจทย์บอก “ทบทวนหน้าที่จัดซื้อทั้งฟังก์ชัน” ฟังดูเหมือน operational แต่ถ้าคำสั่งคือดูว่าทำตามกฎไหม มันยังเป็น compliance หรือถ้ามีเรื่องเงิน/รายจ่าย/งบโผล่มา อย่ารีบตอบ financial — การสุ่มรายจ่ายมาดูว่าเบิกได้ตามเงื่อนไขทุนหรือเปล่า นั่นคือการทดสอบ compliance ไม่ใช่ financial audit
หลักตัดสิน: ถ้าคำที่ขับโจทย์คือ “conform” “in accordance with” “eligibility requirements” “ทำตามกฎหมาย/ระเบียบ/สัญญา” → เลือก compliance ถ้าเน้น efficiency/economy → operational ถ้าเน้นว่าข้อมูลการเงินบันทึก/มีหลักฐานรองรับถูกต้องไหม → financial ถ้าเป็นเหตุผลทางธุรกิจของดีลใหญ่ (ควบรวม ร่วมทุน ขายกิจการ) → นั่น due diligence คนละเรื่อง เดี๋ยวตอน /posts/cia-p1-12-advisory-services/ จะแยกฝั่ง advisory ให้ชัด
⚠️ กับดัก: ระวัง option “full-scope / เต็มรูปแบบ” ที่แปะมาให้ดู “ครบกว่า” — ถ้าโจทย์ขอแค่ดู conformance มันเกินคำขอ ผิด และระวังการเอาโปรแกรมทั้งโปรแกรมหรือทั้งฟังก์ชันมาล่อให้ตอบ operational ทั้งที่คำสั่งคือ conformance
สายรายงานของช่องร้องเรียน: ต้องตรงถึงคนบนสุด
Compliance ยังมีเรื่องโครงสร้างการรายงานที่ข้อสอบชอบออก โปรแกรม compliance ที่ดีต้องมีคนระดับสูงที่มีอำนาจจริงและมีทรัพยากรพอเป็นเจ้าภาพ หลักคือช่องทางร้องเรียน/แจ้งเบาะแสจะได้ผลก็ต่อเมื่อรายงานถึงระดับที่แก้นโยบายได้และเป็นอิสระ
- Chief compliance officer ควรรายงานตรงถึง chief executive officer — ไม่ใช่ general counsel ไม่ใช่ COO ไม่ใช่ CAE
- Ombudsperson (เจ้าหน้าที่รับเรื่องร้องเรียนในองค์กร) ได้ผลดีสุดเมื่อรายงานตรงถึง chief compliance officer หรือ board — ไม่ใช่ “ไม่รายงานใครเลย”
- Hotline ที่พนักงานเชื่อใจสุด คือสายที่มีตัวแทนภายในองค์กรรับเอง และหนุนด้วยนโยบายไม่ตอบโต้ (nonretaliation)
⚠️ กับดัก: ข้อสอบชอบแปะ “ฝ่ายกฎหมาย/general counsel” มาให้ดูเหมือนผู้พิทักษ์เอกสิทธิ์ทางกฎหมาย แต่พนักงานมักไม่ค่อยเชื่อใจช่องที่ฝ่ายกฎหมายคุม และการที่ CCO รายงานต่อฝ่ายกฎหมายเป็นสัญญาณว่าผู้บริหารไม่จริงจัง อีกอันที่เจ็บคือสลับตัวอักษรเดียว “retaliation policy” กับ “nonretaliation policy” — ตัวเดียวพลิกจากช่องที่คนกล้าใช้เป็นช่องที่คนกลัว อ่านให้ครบคำ
⚠️ กับดัก: เรื่องวิธีตรวจจับก็มีกับดัก วิธีที่ละเมิดสิทธิ์หรือบีบบังคับมักเป็นคำตอบผิด เช่น เครื่องจับเท็จ การเช็คเครดิตโดยไม่ขออนุญาต การแอบดูโทรศัพท์ส่วนตัว ล้วนตกหมด ในทางกลับกัน เครื่องมือที่ทำภายในกรอบกฎหมาย/สิทธิความเป็นส่วนตัวคือคำตอบที่ถูก นั่นคือ ethics questionnaire (แบบสอบถามจริยธรรมที่ถามพนักงานว่ารู้เห็นการรับสินบน จ่ายใต้โต๊ะ หรือการกระทำผิดไหม) เป็นเครื่องมือที่ดีที่สุดในการเปิดโปงการกระทำผิดที่กำลังเกิดอยู่ ส่วนการคัดกรองผู้สมัคร (screening) ที่ถามประวัติการถูกลงโทษหรือการกระทำผิดในอดีตในอุตสาหกรรมเดียวกัน เป็นขั้นตอนที่ชอบด้วยกฎหมายและเป็นการใช้ due care แต่ระวังโจทย์กลับด้าน “ทุกข้อยกเว้น” — คราวนี้ “ทำ background check เต็มรูปแบบ” กลายเป็นตัวที่ไม่อยู่ในแผนตรวจ compliance กลายเป็นคำตอบที่ถูก
Financial audit: วัดความน่าเชื่อถือของตัวเลข
ทีนี้ financial audit — งานที่ผู้ตรวจสอบภายในเข้าไปประเมินระบบและการควบคุมที่ผลิตงบการเงินออกมา เพื่อดูว่ารายงานที่ประกอบเป็นงบมันถูกต้องไหม แล้วก็ดูว่าการควบคุมภายในที่ผู้บริหารวางไว้มันลดความเสี่ยงจากการทุจริตหรือความผิดพลาดในการรายงานได้ดีแค่ไหน
ต่างจากผู้สอบบัญชีภายนอกยังไง — นี่คือจุดที่ข้อสอบชอบถามสุด ผู้สอบบัญชีภายนอก (external auditor) เขาตรวจงบการเงินทั้งฉบับแบบละเอียดยิบ แต่ผู้ตรวจสอบภายในจะโฟกัสที่วงจรบัญชี (accounting cycle) กับกระบวนการเฉพาะที่ป้อนเข้าสู่รายงานพวกนั้น งานของภายในเลยเหมือนช่วยหาจุดอ่อนของการควบคุมไว้ก่อนที่ภายนอกจะเข้ามา ความน่าเชื่อถือของข้อมูลการเงินก็แข็งขึ้น พูดง่ายๆ ภายในไม่ได้ทำงานซ้ำทั้งฉบับแบบภายนอก แค่ทบทวนวงจรที่สร้างยอดและกระแสที่ไปโผล่ในงบ
มุมเถ้าแก่/สภา: หลายประเทศกฎหมายบังคับเลยว่าผู้บริหารต้องรับรองว่างบแสดงข้อมูลถูกต้องในสาระสำคัญ ทีนี้ความเชื่อมั่นที่ผู้บริหารกับ board ได้ รวมถึงการที่ผู้สอบบัญชีภายนอกยอมพึ่งงานของกองภายใน มันตั้งอยู่บนการประเมินความเพียงพอและประสิทธิผลของการควบคุมภายในเหนือการรายงานทางการเงิน (internal controls over financial reporting) ทั้งนั้น นี่แหละเหตุผลที่เถ้าแก่และสภาให้ค่ากับงานนี้มาก
มุมผู้ตรวจ (คนสอบ): ถามตัวเองว่า กำลังตรวจสอบอะไร? ถ้าคำตอบคือ “ตัวเลขบันทึกถูกไหม มีหลักฐานรองรับไหม แสดงอย่างเป็นธรรมไหม” (ความน่าเชื่อถือและความถูกต้องครบถ้วนของข้อมูลการเงิน) นั่นคือคำตอบของ financial audit ถ้า option พูดถึง efficiency/economy/effectiveness การใช้ทรัพยากร การทำตามกฎ การปกป้องทรัพย์สิน หรือเรื่องคน/การตลาด → ตัด นั่นเป็นงาน operational หรือ compliance จำหลักง่ายๆ financial audit เริ่มจากงบการเงินแล้วไล่ย้อนกลับไปหากระบวนการที่ผลิตมัน
⚠️ กับดัก: โจทย์ชอบยัดกริยาเชิง operational ที่ฟังดูมีประโยชน์ เช่น “ใช้ทรัพยากรให้คุ้มสุด” “ลดต้นทุนดำเนินงาน” “เพิ่ม productivity ของพนักงาน” “เพิ่มมูลค่าให้ผู้ถือหุ้นสูงสุด” — พวกนี้เป้าหมายของ operational ไม่ใช่ financial และระวัง option คำสุดขั้วอย่าง “ตรวจจับการทุจริตทั้งหมด” หรือ “จับคู่การควบคุมกับ checklist มาตรฐานตายตัว” เพราะผู้ตรวจให้ความเชื่อมั่นแบบสมเหตุสมผล (reasonable assurance) และใช้ดุลยพินิจ ไม่ใช่เดินตาม checklist บังคับ
เจอ error แล้วทำอะไรก่อน: ประเมินก่อน อย่าเพิ่งรายงาน
อันนี้เป็น pattern ที่ออกบ่อยจนต้องจำขึ้นใจ ผู้ตรวจสอบภายในเจอ error ระหว่างตรวจงบ — ทำอะไรเป็นอันดับแรก? คำตอบคือ ประเมินความเสี่ยงของการแสดงข้อมูลที่ขัดต่อข้อเท็จจริง (assess the risk of misrepresentation) ก่อนเสมอ เพราะมีแต่ error ที่มีผลกระทบที่เป็นสาระสำคัญ (material) เท่านั้นแหละที่ต้องรายงาน
- ⚠️ กับดัก: “รายงาน error ที่เป็นสาระสำคัญทันที” / “แจ้ง audit committee” / “รายงาน board ทันที” — ปลายทางถูก แต่จังหวะผิด พวกนี้เกิดหลังประเมินความมีสาระสำคัญแล้วเท่านั้น
- ⚠️ กับดัก: “แก้ error แล้วส่งงบที่แก้แล้ว” — เลยขอบเขต ผู้ตรวจสอบภายในไม่ได้จัดทำหรือแก้งบการเงิน นั่นเป็นหน้าที่ของผู้บริหาร
ให้จำลำดับ: ประเมินความเสี่ยง/สาระสำคัญก่อน → ถ้าเป็นสาระสำคัญค่อยหารือกับผู้รับตรวจ แล้วรายงานต่อ audit committee/board → ถ้าไม่แน่ใจยกให้ CAE เลือก option ที่มีคำว่า ประเมิน/assess materiality/risk เสมอ อย่าเลือก option ที่รีบ “รายงานทันที”
โยงอาการให้ตรงวงจร
Financial audit ใช้แนวทางวงจร (cycle approach) — วงจรคือกลุ่มรายการที่ทำหน้าที่เดียวกัน เช่น วงจรขาย-ลูกหนี้-รับเงิน, วงจรจัดซื้อ-เจ้าหนี้-จ่ายเงิน, วงจรผลิต, วงจรทุนและการจ่ายชำระ (financial capital and payment), วงจรบุคคลและเงินเดือน ผู้ตรวจดูทั้งความเสี่ยงสืบเนื่อง (inherent risk) ของยอด/กระแสนั้น และความเสี่ยงจากการควบคุม (control risk) ในวงจรที่เกี่ยวข้อง
เคล็ดตอบข้อสอบคือ ให้ตามกลไก หยิบสาเหตุที่มันผลิตอาการที่โจทย์บอกได้จริงๆ ในเชิงกลไก แล้วก็ต้อง อยู่ในวงจรที่โจทย์ระบุ ด้วย อย่าเผลอหยิบสาเหตุจากวงจรข้างเคียงมาตอบ
⚠️ กับดัก: โจทย์ชอบเอาสาเหตุจากวงจรข้างๆ มาล่อ เช่น ถามเรื่องวงจรทุนและการจ่ายชำระแต่ยัด option เรื่องความเสี่ยงสินค้าคงคลัง/การผลิต/กฎหมายแรงงานมา — ความเสี่ยงสืบเนื่องของวงจรทุนที่ถูกคือเรื่องการบันทึกดอกเบี้ยและเงินปันผลที่ได้รับไม่ถูกต้อง ไม่ใช่เรื่องพวกนั้น หรือถามเรื่องกำไรถูกปั้น (earnings manipulated) จุดโฟกัสที่ถูกคือจังหวะการรับรู้รายได้ (timing of revenue recognition) บวกการตีมูลค่าสินค้าคงคลัง เพราะสองตัวนี้คือคานที่ขยับกำไรสุทธิ ส่วน “การเปลี่ยนประมาณการบัญชี” หรือ “เปลี่ยนหลักการบัญชี” มักไม่เป็นสาระสำคัญหรือผู้บริหารอนุมัติแล้ว ไม่ใช่ตัวสร้างเซอร์ไพรส์
และเรื่องจัดลำดับความเสี่ยง: การจ่ายเงินจริงโดยไม่มีใบสั่งซื้อหรือใบรับของ (เงินออกไปจริง เสี่ยงทุจริตสูง) มีความเสี่ยงมากกว่าเอกสารขาดหายไปใบเดียวที่แค่ขวางไม่ให้จ่าย เพราะอันหลังเงินยังไม่ออก
Management reporting: ของใช้ภายในล้วน
มาถึง management reporting — รายงานผู้บริหารที่ผู้จัดการกับผู้บริหารระดับสูงเอาไว้ใช้ตัดสินใจทางธุรกิจและติดตามความคืบหน้า พนักงานส่งรายงานให้ผู้จัดการ ผู้จัดการก็เอาไปแจ้งผู้บริหารต่อแล้วตัดสินใจเชิงกลยุทธ์ หลายรายงานมันมีทั้งข้อมูลการเงินและการดำเนินงานของธุรกิจส่วนเล็กๆ ปนกัน ทำหน้าที่เป็น business intelligence ในตัวเลย
จุดที่ต้องปักหมุด: เพราะมีข้อมูลเชิงลึกที่เป็นความลับ รายงานผู้บริหารจึงใช้ภายในเท่านั้น ข้อมูลไม่ได้อิงหลัก GAAP, IFRS หรือระบบบัญชีใดๆ และไม่ผูกกับกำหนดเวลา/สเปกภายนอกแบบรายงานที่ส่งหน่วยงานกำกับ
มุมเถ้าแก่/สภา: อุปมาเหมือนสมุดโน้ตหลังร้านของเถ้าแก่ ที่จดว่าวันไหนขายดี สาขาไหนกำไรตก ของอะไรค้างสต็อก — สมุดนี้ไว้ใช้ตัดสินใจภายในบ้าน ไม่ได้เอาไปยื่นสรรพากรหรือประกาศให้คนนอกดู มันคือเครื่องมือบริหาร ไม่ใช่รายงานตามกฎหมาย
มุมผู้ตรวจ (คนสอบ): ถาม option ทีละข้อว่า ผู้อ่านคือใคร / อยู่ใต้กฎอะไร? ถ้าผู้อ่านคือผู้บริหาร/ผู้บริหารระดับสูงภายใน เพื่อตัดสินใจหรือติดตาม = ใช่ นี่คือ management report ถ้าผู้อ่านเป็นภายนอก (SEC หน่วยงานกำกับ ผู้มีส่วนได้เสียภายนอก) หรืออยู่ใต้ GAAP/IFRS/การรายงานตามกฎหมาย = ตัดทิ้ง นั่นเป็น financial หรือ compliance ไม่ใช่ management reporting
⚠️ กับดัก: โจทย์ชอบแปะ “ผู้มีส่วนได้เสียภายนอก” “แจ้งผลประกอบการต่อสาธารณะ” ให้ดูเหมือนการสื่อสารที่ดี แต่ผู้อ่านผิด หรือแปะ “เพื่อให้เป็นไปตามหน่วยงานกำกับ” “ตามข้อกำหนดทางกฎหมาย” ซึ่งเรื่องกำกับเป็นงาน compliance หรือ “จัดทำตาม GAAP/IFRS” ที่ข้อมูลรายงานผู้บริหารไม่ได้สร้างบนมาตรฐานบัญชีใดๆ และระวังโจทย์กลับด้าน “ข้อใดเป็นตัวอย่างของ management report” — คราวนี้ต้องเลือกตัวที่เป็นภายในโดดๆ (เช่น dashboard ภายใน หรือ variance analysis เทียบจริงกับงบ) ส่วนตัวภายนอกทั้งหมดกลายเป็นตัวลวง
⚠️ กับดัก: ระวังกับดักตั้งชื่อประเภทงาน เมื่อโจทย์ทดสอบว่ารายงาน/ข้ออ้าง (assertion) ภายในมีประสิทธิผลไหม คำตอบคืองาน management reporting audit ส่วน “quality audit” (ดูว่าตรงมาตรฐานคุณภาพไหม), “performance audit” (ดูความคืบหน้าเทียบ KPI), “operational audit” (ดูประสิทธิภาพการดำเนินงาน) เป็นชื่อที่ใกล้เคียงแต่เล็งคนละเป้า ตัวลวงแต่ละตัวเป็นประเภทงานจริง แค่เล็งผิดวัตถุประสงค์
Culture audit: ทำจริงตรงกับที่พูดไหม
ปิดท้ายด้วยงานที่นามธรรมสุด organizational culture audit วัฒนธรรมองค์กรก็คือชุดค่านิยม ความเชื่อ บรรทัดฐาน และพฤติกรรมร่วมขององค์กร ตรงนี้ IIA เขาแยก culture (วัฒนธรรม — ระบบความเชื่อ ค่านิยม บรรทัดฐานที่มองไม่เห็น) ออกจาก conduct (พฤติกรรม คือการแสดงออกที่จับต้องได้ผ่านการกระทำและการตัดสินใจ) จำง่ายๆ culture คือของที่มองไม่เห็น conduct คือของที่มองเห็น
culture audit ก็คือการประเมินแบบครอบคลุมว่าพฤติกรรมและแนวปฏิบัติขององค์กรมันตรงกับค่านิยมและความเชื่อที่ประกาศไว้ไหม แล้วส่งผลต่อความสำเร็จยังไง จุดเด่นคือมันหาอุปสรรคเชิงวัฒนธรรมที่ขวางความสำเร็จเจอ — ตัวอย่างคลาสสิคเลย องค์กรบอกว่าให้ค่ากับนวัตกรรม แต่พอลงโทษความล้มเหลวหนักๆ คนก็ไม่กล้าเสนอไอเดีย นวัตกรรมก็ตาย ทั้งที่ปากประกาศว่ารักนวัตกรรม
มุมเถ้าแก่/สภา: วัฒนธรรมกระทบกระเป๋าเถ้าแก่ทางอ้อมแต่ลึก วัฒนธรรมแย่เป็นรากของปัญหาธุรกิจหลายเรื่อง และอาจทำให้เสียเงินเพราะมันบ่อนเซาะการควบคุมภายในได้ อัตราการลาออกสูงและการขาดงานบ่อยเป็นสัญญาณอันตรายว่าวัฒนธรรมไม่หนุนความสำเร็จ เถ้าแก่ที่ฉลาดจึงอยากให้กองผู้ตรวจส่องเรื่องนี้ด้วย — board หรือผู้บริหารระดับสูงเป็นคนขอให้ทำงาน assurance ด้านวัฒนธรรม
มุมผู้ตรวจ (คนสอบ): ถาม option ว่ามันจับการประเมินแบบครอบคลุมว่า “พฤติกรรม vs ค่านิยมที่ประกาศ” ไหม ถ้าเป็นประเภทงานที่แคบกว่า (operational/compliance/performance/governance/risk-control) → ตัด เพราะมันมองไม่เห็นอุปสรรคเชิงวัฒนธรรม ถ้าเป็นส่วนเสี้ยวที่จริงแต่ไม่ครบ (“แค่ทดสอบการรายงานตามจรรยาบรรณ” “แค่ประเมิน governance” “แค่ตรวจกระบวนการความเสี่ยงและการควบคุม”) → ตัด เพราะแต่ละอันเป็นเพียงองค์ประกอบเดียวของ culture audit ไม่ใช่ทั้งร่ม
และเรื่องบทบาท: internal audit ประเมินเท่านั้น ส่วนผู้บริหารกำหนด/บังคับใช้และเป็นเจ้าของโทนจริยธรรม ความรับผิดชอบหลักของผู้บริหารระดับสูงคือการสร้างวัฒนธรรมจริยธรรมที่เหมาะสม/tone at the top ไม่ใช่การออกแบบระบบควบคุม (อันนั้นเป็นความรับผิดชอบโดยรวมที่มอบหมายลงไปทำรายวัน) แล้วอีกอย่าง เพราะตัวผู้ตรวจเองก็เป็นพนักงานขององค์กรนี่แหละ เรื่องความเป็นอิสระ (independence) กับความเที่ยงธรรม (objectivity) เลยกลายเป็นข้อกังวลพื้นฐานของงานตรวจวัฒนธรรม เรื่องนี้เกี่ยวโยงกับ Standard 9.1 ที่ให้ CAE ต้องเข้าใจกระบวนการ governance การบริหารความเสี่ยง และการควบคุม รวมถึงการที่องค์กรส่งเสริมวัฒนธรรมจริยธรรม — จำเจตนา ไม่ต้องท่องเลข
⚠️ กับดัก: ระวัง option ที่ให้ internal audit กำหนด/บริหารรายวัน/บังคับใช้วัฒนธรรม ผิดหมด นั่นเป็นงานผู้บริหาร/HR ผู้ตรวจแค่ประเมินและต้องคง objectivity และระวังคำสุดขั้ว “รับประกัน (ensures)” “โดยตรง (directly)” “ขจัด (eliminates)” — วัฒนธรรมที่ดีช่วยเรื่องพวกนี้แบบทางอ้อมและสนับสนุนเท่านั้น ไม่ได้การันตี ถ้า option บอก “วัฒนธรรมดีรับประกันการทำตามกฎ” หรือ “ปรับปรุงผลตรวจการเงินโดยตรง” หรือ “ขจัดความจำเป็นที่ผู้บริหารต้องเข้ามายุ่ง” → ผิด ส่วน option “ถูกทุกข้อ” จะถูกก็ต่อเมื่อทุกข้อใช้คำแบบมีเงื่อนไข (ลด/สนับสนุน/อาจ) ไม่ใช่คำการันตี
ตารางกับดักรวม
| สถานการณ์ | คำตอบหลอก | คำตอบจริง |
|---|---|---|
| Operational audit ยัด option เรื่องตัวเลข | ”ตรวจความถูกต้องรายงานการเงิน” / “นับของตรงบันทึก” | วัด efficiency/effectiveness ของการดำเนินงาน |
| ”ข้อใดไม่ใช่ตัววัด operational effectiveness” | productivity ratio / operating ratio | return on equity (ตัวการเงิน) |
| งานประจำ (จัดซื้อ เศษของเสีย งบประมาณ) | เป็น program | เป็น process (งานประจำ) |
| ประโยชน์วัดเป็นเงินยาก | process engagement | program-results engagement |
| ”output/input” แปะป้าย operating ratio | operating ratio | productivity ratio |
| ตรวจว่าเบิกจ่ายตามเงื่อนไขทุนไหม | financial audit | compliance (ทดสอบ conformance) |
| สายรายงานของ chief compliance officer | general counsel / COO / CAE | chief executive officer |
| hotline ที่พนักงานเชื่อใจ | ฝ่ายกฎหมายรับ / retaliation policy | ตัวแทนภายใน + nonretaliation policy |
| เครื่องมือเปิดโปงการทำผิดที่กำลังเกิด | เช็คเครดิต/เครื่องจับเท็จ/แอบดูโทรศัพท์ | ethics questionnaire |
| financial audit ยัดกริยา operational | ”ลดต้นทุน” / “เพิ่มมูลค่าผู้ถือหุ้น” | วัดความน่าเชื่อถือของตัวเลข/ICFR |
| เจอ error ระหว่างตรวจงบ | รายงาน board/audit committee ทันที | ประเมินความเสี่ยง/สาระสำคัญก่อน |
| ยอดคุมต่างจากยอดย่อย | lapping / aging | credit memoranda ที่บันทึกไม่ถูก |
| รายงานที่ส่ง SEC / อิง GAAP | management report | ไม่ใช่ — ภายในล้วนถึงเป็น management report |
| ทดสอบว่ารายงานภายในแม่นขึ้นไหม | quality/performance/operational audit | management reporting audit |
| หาอุปสรรคที่ขวางค่านิยมที่ประกาศ | operational/compliance/governance audit | culture audit (ทั้งร่ม ไม่ใช่เสี้ยวเดียว) |
| บทบาท internal audit ต่อวัฒนธรรม | กำหนด/บังคับใช้/เป็นเจ้าของ | ประเมินเท่านั้น (คง objectivity) |
สิ่งที่จดสำหรับวันสอบ
- Operational = efficiency + effectiveness เท่านั้น เจอ option เรื่องบัญชี = financial, เจอเรื่องกฎ = compliance ตัดทิ้ง
- ในกอง operational: program = กิจกรรมมีทุน ไม่ใช่งานประจำ / process = งานประจำ เน้นเป้าหมายขัดกันข้ามแผนก
- สี่ตัววัด จำสูตร: productivity ratio = out/in · operating ratio = ค่าใช้จ่ายดำเนินงาน/ยอดขาย · productivity index = จริง/ศักยภาพ · resource usage rate = ใช้/มี
- Compliance = จับคำสั่ง “conform/ตามกฎ” ไม่ใช่จับวัตถุที่ตรวจ / CCO → CEO, ombudsperson → CCO หรือ board / hotline เชื่อใจ = คนในรับ + nonretaliation
- วิธีตรวจที่ละเมิดสิทธิ์ (จับเท็จ เช็คเครดิตไม่ขออนุญาต แอบดูโทรศัพท์) = ผิด / ethics questionnaire จับสิ่งที่กำลังเกิด screening จับอดีต
- Financial = วัดความน่าเชื่อถือของตัวเลข เริ่มจากงบไล่ย้อนกลับ / ภายในโฟกัสวงจรบัญชี ภายนอกตรวจทั้งฉบับ
- เจอ error → ประเมินความเสี่ยง/materiality ก่อน อย่ารายงานทันที และไม่แก้งบเอง (งานผู้บริหาร)
- โยงอาการให้ตรงวงจร อย่าหยิบวงจรข้างเคียง / เงินจ่ายจริงไม่มีเอกสาร เสี่ยงกว่าเอกสารขาดที่แค่ขวางจ่าย
- Management report = ภายในล้วน ไม่อิง GAAP/IFRS ไม่ส่งภายนอก ถ้าเจอ SEC/regulator = ไม่ใช่
- Culture audit = ทั้งร่ม ดูพฤติกรรม vs ค่านิยมที่ประกาศ / IA ประเมินเท่านั้น ผู้บริหารเป็นเจ้าของ tone at the top / คำ “รับประกัน/โดยตรง/ขจัด” = ผิด
จบฝั่ง assurance ที่มี formal opinion แล้ว ทีนี้ถึงคิวจานอีกฝั่งของเมนู — advisory ที่ให้คำแนะนำแต่ไม่ออกความเห็นเป็นทางการ และมีกับดักเรื่องเส้นแบ่ง “แนะนำได้ ลงมือทำแทนไม่ได้” ตอนหน้าเจาะให้ขาด ตอนถัดไป: งาน advisory ครับ
อ้างอิง: Gleim CIA Review (2026), Part 1 · IIA Global Internal Audit Standards (2024)