1496 คำ
7 นาที
CIA Series ตอนที่ 12 : P1 - งานของกอง III: Advisory — เมื่อเจ้าเมืองขอคำปรึกษา
สารบัญ
โครงของบท เส้นแบ่งที่ต้องคมที่สุด: advisory ไม่ออกความเห็น แนะนำได้ ลงมือทำแทนไม่ได้ ชนิดของงานที่ปรึกษา — จับคำสัญญาณให้ตรงชนิด เรื่องเวลา เรื่องเปิดเผย เรื่องส่งต่อ นาฬิกา 1 ปี หลังให้คำปรึกษา บอกใครเมื่อมีปัญหา — บอกลูกค้าที่รับบริการ เรื่องเล็กบอกฝ่ายจัดการ เรื่องใหญ่ส่งขึ้นบน ขอบเขตงานปรึกษา ตกลงร่วมกัน ไม่ใช่แกะจาก template Benchmarking — เทียบกับใคร เทียบเรื่องอะไร จับให้ได้ว่านี่คือ benchmarking ไม่ใช่ตัวปลอมที่หน้าตาคล้าย เทียบกับใคร — ชนิดของ benchmark เทียบเรื่องอะไร — สองแกนต้องอ่านให้ครบ งานที่ปรึกษาอื่นๆ — จับนิยามให้ตรงชื่อ อย่าเดาจากบรรยากาศ ใน BPR และงาน process: แนะนำได้ ลงมือทำเองไม่ได้ ขอบเขต due diligence: ประเมินความเสี่ยงเข้า ตัดสินคดี-ตีราคาออก ตารางกับดักรวม สิ่งที่จดสำหรับวันสอบ

ผู้จัดการสาขาเดินเข้ามาหากองผู้ตรวจการ ยิ้มกว้าง ถือแฟ้มระบบเบิกจ่ายที่กำลังจะสร้างใหม่ แล้วบอกว่า “พี่ช่วยออกแบบระบบนี้ให้หน่อยได้ไหม พี่รู้เรื่อง control ดีที่สุดในอาณาจักรแล้ว”

ฟังดูเป็นคำชม เป็นโอกาสได้ช่วยจริงๆ แต่ในหัวของคนที่นั่งอยู่ในกองผู้ตรวจการมีเสียงเตือนดังขึ้นทันที — ถ้ารับปากออกแบบระบบให้เขาวันนี้ แล้วปีหน้าเถ้าแก่สั่งให้ไป “ตรวจ” ระบบเดียวกันนี้ มันจะกลายเป็นตรวจงานที่ตัวเองสร้างมากับมือ ตรวจงานตัวเอง ใครจะเชื่อผลตรวจนั้น

คำถามจริงคือ รับได้แค่ไหน ช่วยได้ถึงตรงไหน โดยที่ยังไม่หลุดจากบทบาทผู้ตรวจ นี่แหละคือหัวใจของ advisory services (เดิมเรียก consulting services) — งานอีกด้านของกองผู้ตรวจการ ไม่ใช่การไปจับผิด แต่เป็นการเอาความรู้ไปช่วยให้องค์กรเดินได้ดีขึ้น ตอนนี้ค่อยๆ เดินไปทีละก้าว ว่าเส้นมันอยู่ตรงไหน

ตอนที่แล้วเราแยกงาน assurance ที่ลงสนามจริงออกเป็นห้าแบบ — operational (วัดประสิทธิภาพ/ประสิทธิผล), compliance (วัดการทำตามกฎ), financial (วัดความน่าเชื่อถือของตัวเลข), management reporting และ culture audit ทั้งหมดนั้นมีจุดร่วมคือออก formal opinion ตอนนี้เราข้ามมาอีกฝั่งของเมนู — งานที่ให้คำแนะนำแต่ ไม่ ออกความเห็นเป็นทางการ

โครงของบท#

  • advisory คืออะไร ต่างจาก assurance ตรงไหน — และทำไมความต่างนี้คือกับดักเบอร์หนึ่งของบทนี้
  • ที่ปรึกษาทำอะไรได้ ทำอะไรไม่ได้ (แนะนำได้ ลงมือทำแทนไม่ได้) + ชนิดของงานที่ปรึกษา
  • ความรับผิดชอบของผู้ตรวจ: cooling-off 1 ปี, บอกใครเมื่อมีปัญหา, เรื่องเล็กเรื่องใหญ่ส่งขึ้นถึงใคร, ขอบเขตตกลงกับใคร
  • benchmarking — เทียบกับใคร เทียบเรื่องอะไร มีกี่ชนิด
  • งานที่ปรึกษาอื่นๆ: due diligence, business process reengineering, performance — จับนิยามให้ตรงชื่อ
  • ตารางกับดักรวม + สิ่งที่จดสำหรับวันสอบ

เส้นแบ่งที่ต้องคมที่สุด: advisory ไม่ออกความเห็น#

เอาตรงๆ ถ้าจะจำอะไรจากบทนี้ได้แค่อย่างเดียว ให้จำเส้นนี้ก่อน

assurance (การให้ความเชื่อมั่น) คือการที่ผู้ตรวจเข้าไปประเมิน control กับ risk อย่างเป็นอิสระ แล้ว ออกข้อสรุปอย่างเป็นทางการ (engagement conclusion) ที่มีน้ำหนัก เป็นคำตัดสินว่าของจริงเป็นยังไง

ส่วน advisory คือการให้คำปรึกษา คำแนะนำ ข้อเสนอแนะ เพื่อช่วยให้งานดีขึ้น — แต่ ไม่ออก formal opinion ไม่ให้ assurance และไม่รับบทบาทของฝ่ายบริหาร คำแนะนำที่ให้ไปนั้นไม่ผูกมัด ลูกค้าจะเอาไปทำหรือไม่ทำก็ได้ ขอบเขตก็ตกลงกันเองระหว่างผู้ตรวจกับคนที่ขอรับบริการ

ลองคิดดูนะ ถ้ามีหมอสองแบบ แบบแรกออกใบรับรองสุขภาพให้บริษัทประกันเชื่อถือได้ นั่นคือ assurance มีความเห็นเป็นทางการ มีความรับผิดตามมา อีกแบบเป็นเพื่อนที่จบหมอ มานั่งคุยว่าเธอน่าจะออกกำลังกายมากขึ้นนะ กินแบบนี้ดีกว่า อันนี้เป็นแค่คำแนะนำ ฟังแล้วไปทำเองหรือไม่ทำก็เรื่องของเธอ นั่นแหละคือ advisory คนเดียวกัน ความรู้ชุดเดียวกัน แต่คนละบทบาท คนละน้ำหนักของคำพูด

มุมเถ้าแก่/สภา: advisory คือช่องที่ทำให้เถ้าแก่ได้กำไรจากความรู้ของกองผู้ตรวจการ ก่อน ที่ปัญหาจะเกิด แทนที่จะรอให้ตรวจเจอทีหลังแล้วค่อยแก้ กองผู้ตรวจการที่รู้จักองค์กรดีอยู่แล้วมานั่งให้คำปรึกษาตอนกำลังจะสร้างระบบใหม่ ตอนกำลังจะควบรวมกิจการ — มันคือมูลค่าที่มองไปข้างหน้า (forward-looking) เถ้าแก่นอนหลับสบายขึ้นเพราะได้ที่ปรึกษาที่ไว้ใจได้ ไม่ต้องจ้างที่ปรึกษานอกที่ยังต้องมาทำความรู้จักองค์กรตั้งแต่ต้น

มุมผู้ตรวจ (คนสอบ): ข้อสอบชอบหลอกแบบนี้มาก ให้ตัวเลือกที่บอกว่า advisory ให้ “formal opinion” หรือ “formal conclusion” หรือ “independent evaluation” ⚠️ กับดัก: ตัดทิ้งทันที เพราะความเห็นอย่างเป็นทางการเป็นของ assurance เท่านั้น

บางทีก็สลับให้เนียนกว่านั้น บอกว่า assurance เป็นงานให้คำปรึกษา ส่วน advisory เป็นงานออกความเห็นอิสระ สลับหน้าที่กันดื้อๆ นั่นก็ผิด อีกแบบคือบอกว่า advisory ให้คำแนะนำที่ “required” หรือ “binding” (บังคับ ผูกมัด) ก็ผิดอีก เพราะ advisory ไม่ผูกมัด ลูกค้าตกลงร่วมด้วย

เทคนิคอ่านให้เร็ว: อ่านครึ่ง advisory ของแต่ละตัวเลือกก่อน เจอคำว่า formal opinion / independent evaluation / required เมื่อไหร่ ตัดทิ้งเลย

แนะนำได้ ลงมือทำแทนไม่ได้#

กลับมาที่ผู้จัดการสาขาที่ขอให้ช่วยออกแบบระบบ คำตอบที่ถูกต้องตาม the Standards ไม่ใช่ “ไม่ช่วย” และไม่ใช่ “ช่วยทำให้เลยทั้งหมด” — มันอยู่ตรงกลาง

ผู้ตรวจ แนะนำ ได้ วิเคราะห์ control ในระบบที่กำลังพัฒนาได้ ชี้ว่าตรงไหนเสี่ยง ตรงไหนควรมี control อะไร เสนอแนะได้เต็มที่ แต่ การตัดสินใจว่าจะเอาข้อเสนอไปทำไหม และการลงมือ implement จริง เป็นงานของฝ่ายบริหาร ผู้ตรวจไม่ไปนั่งในทีมที่รับผิดชอบการติดตั้ง control ไม่ไปเป็นคนกดปุ่มสร้างระบบ ไม่ไปรับบทบาทบริหารความเสี่ยงแทนเขา

หลักคิดง่ายๆ: internal auditing ไม่ใช่ management decision-making function ไม่ใช่หน่วยตัดสินใจแทนฝ่ายบริหาร การตัดสินใจว่าจะรับหรือจะทำตามคำแนะนำที่มาจาก advisory เป็นของฝ่ายบริหารเสมอ พอเป็นแบบนี้ ความเที่ยงธรรม (objectivity) ของผู้ตรวจก็เลยไม่เสียหายจากการตัดสินใจของฝ่ายบริหาร เพราะผู้ตรวจไม่ได้เป็นคนตัดสินอยู่แล้ว

มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: ข้อสอบจะเสนอตัวเลือกที่ฟังดูขยันดี เช่น “ผู้ตรวจ implement control ตัวใหม่” “ผู้ตรวจเข้าร่วมทีมที่รับผิดชอบการติดตั้ง control” “ผู้ตรวจรับบางส่วนของหน้าที่บริหารความเสี่ยง” “advisory สั่งให้ฝ่ายบริหารทำการเปลี่ยนแปลงที่จำเป็น” ทั้งหมดนี้ผิด เพราะมันดันผู้ตรวจเข้าไปสู่ การกระทำแบบฝ่ายบริหาร (implement, manage, decide, direct, own)

ถามตัวเองข้อเดียวพอ: ตัวเลือกนี้ทำให้ผู้ตรวจ “ลงมือทำ/ตัดสินใจ/สั่งการ/เป็นเจ้าของงานแก้” หรือเปล่า ถ้าใช่ = ทำไม่ได้ ถ้าผู้ตรวจแค่บันทึกปัญหา เสนอแนะ ให้คำปรึกษา อบรม = นั่นคือคำตอบที่ถูก

แต่มีมุมกลับที่ต้องระวังเป็นพิเศษ ⚠️ กับดัก: ถ้าโจทย์ถามว่า “advisory ทำให้ objectivity เสียหายเมื่อไหร่” คราวนี้ตัวเลือกที่ให้ผู้ตรวจ ออกแบบและติดตั้ง control ให้ฝ่ายบริหาร กลับกลายเป็นคำตอบที่ถูก ส่วนตัวเลือกที่เป็นการให้ feedback ตามปกติ หรือช่วยพัฒนากลยุทธ์โดยมี safeguard กลายเป็นตัวหลอกแทน

อ่าน polarity ของโจทย์ให้ขาด ถามว่า “ทำได้ไหม” กับถามว่า “อะไรทำให้เสีย objectivity” นี่ต้องเลือกคนละขั้วกันเลย

ชนิดของงานที่ปรึกษา — จับคำสัญญาณให้ตรงชนิด#

งาน advisory มีหลายหน้าตา และข้อสอบชอบเอาคำสัญญาณมาสลับกัน จับ trigger word ให้แม่น

  • formal — งานที่ วางแผนไว้ล่วงหน้า มีข้อตกลงเป็นลายลักษณ์อักษร เช่น การจัดอบรม internal control ให้ผู้จัดการทุกคนแบบต่อเนื่องเป็นรอบๆ (วางแผน + ต่อเนื่อง)
  • informal — งานประจำทั่วไป เช่น การนั่งใน standing committee, limited-life project, การประชุม ad-hoc, การแลกเปลี่ยนข้อมูลตามปกติ
  • special — งานเฉพาะกิจครั้งเดียว เช่น เข้าร่วมทีมควบรวมกิจการ หรือทีมแปลงระบบ (system conversion) จากมือเป็นอัตโนมัติ
  • emergency — งานฉุกเฉินที่ไม่ได้วางแผนไว้ เช่น เข้าทีมกู้คืนระบบหลังภัยพิบัติ หรือมาช่วยชั่วคราวเพื่อทัน deadline พิเศษ
  • facilitative — ผู้ตรวจเอาความเชี่ยวชาญไป ช่วยฝ่ายบริหารประเมินปัญหาและทางออก ในพื้นที่งานของเขาเอง
  • educational — ผู้ตรวจ ถ่ายทอดความรู้เฉพาะทาง/อบรม ให้คนที่ทำงานในพื้นที่นั้น

⚠️ กับดัก: คู่ที่พลาดกันบ่อยที่สุดคือ special กับ formal — การแปลงระบบครั้งเดียวจบคือ special ส่วนการอบรมที่วางแผนไว้ต่อเนื่องคือ formal และ emergency มักถูกโยนมาหลอกกับทุกอย่างที่ฟังดูเร่งด่วน แต่ emergency แปลว่าวิกฤตที่ไม่ได้วางแผน (ภัยพิบัติ, deadline ผิดปกติ, มาช่วยชั่วคราว) เท่านั้น อีกคู่คือ facilitative (ช่วยเขาประเมินเอง) กับ educational (สอนให้ความรู้) มักถูกสลับ

เรื่องเวลา เรื่องเปิดเผย เรื่องส่งต่อ#

พอกองผู้ตรวจการรับงาน advisory มาแล้ว มีชุดกติกาว่าด้วยความเป็นอิสระ (independence) กับความเที่ยงธรรมที่ต้องรักษา แต่ละข้อคือกับดักในตัวมันเอง

นาฬิกา 1 ปี หลังให้คำปรึกษา#

สมมติว่ากองผู้ตรวจการทำ formal advisory ให้แผนกเงินเดือนเสร็จเมื่อวันที่ 1 มิถุนายน ปีนี้ พอปีหน้าเถ้าแก่อยากได้ assurance เต็มรูปแบบบนแผนกนั้น — จุดที่จะตรวจได้แบบสะอาดจริงคือ 1 มิถุนายน ปีถัดไป คือครบ 1 ปีเต็มพอดี

หลักคือ ถ้าจะให้ assurance บนเรื่องที่ตัวเอง เพิ่งให้คำปรึกษา หรือเพิ่งไปทำเองมาภายใน 1 ปี — ความเที่ยงธรรมถือว่า presumed impaired (สันนิษฐานว่าบกพร่องไว้ก่อน) นี่คือ cooling-off period

⚠️ กับดัก: จุดพลาดคือคนชอบตอบว่า “ต้องปฏิเสธทันที มันเป็น conflict of interest” ผิด เพราะการบกพร่องนี้ บรรเทาได้ ไม่ใช่ห้ามขาด ทางบรรเทา (mitigate) คือ ใช้ผู้ตรวจคนละคนทำแต่ละงาน, จัดให้มี supervision ที่เป็นอิสระ, แยกความรับผิดชอบต่อผลของแต่ละโครงการ, แล้วก็เปิดเผยการบกพร่องที่สันนิษฐานไว้นั้น

อีกจุดที่พลาดคือตอบว่า “ต้องรออย่างน้อย 1 ปีเสมอ” แบบเด็ดขาดเกินไป หรือไปเลือก 6 เดือน window คือ 1 ปีเต็มนับจาก advisory engagement

และที่สำคัญ ถ้าบริการที่จะทำเป็น advisory เอง (แม้บนพื้นที่ที่เคยทำมาก่อน) ไม่ถือว่าบกพร่อง ทำได้เลย เส้นนี้เฉพาะกรณีจะไป assurance บนของเก่าตัวเองเท่านั้น

บอกใครเมื่อมีปัญหา — บอกลูกค้าที่รับบริการ#

ทีนี้ถ้ามีความบกพร่องที่ อาจ เกิด (potential impairment) บนงาน advisory ที่กำลังจะรับ — ต้องทำยังไง คำตอบคือ เปิดเผย (disclose) ต่อ engagement client ที่ได้ประโยชน์จากบริการนั้น ก่อนตกลงรับงาน ถ้าลูกค้ารับรู้แล้วยังอยากให้ทำ ก็เดินหน้าได้

⚠️ กับดัก: ตัวหลอกยอดฮิตคือ “ปฏิเสธทันที / ถอนตัวจากงาน” ผิด เพราะสิ่งที่ต้องทำคือเปิดเผย ไม่ใช่ถอนตัว ลูกค้าที่รับรู้ข้อมูลครบแล้วเป็นคนตัดสินใจ อีกตัวหลอกคือ “เปิดเผยต่อ board หรือ external auditor” อันนี้ผิดผู้รับ เพราะงาน advisory เปิดเผยไปที่ engagement client ที่ได้ประโยชน์ ไม่ใช่วิ่งขึ้น board ส่วน “ไม่ต้องเปิดเผย / ต้องไม่บอก CAE” ไม่เคยเป็นคำตอบที่ถูก การปิดบังไม่ใช่ทางเลือก (ประเด็นการเปิดเผยต่อ board กับ audit committee ในเชิงโครงสร้างธรรมาภิบาล ลงลึกไปแล้วตอน /posts/cia-p1-03-independence-impairment/)

เรื่องเล็กบอกฝ่ายจัดการ เรื่องใหญ่ส่งขึ้นบน#

ระหว่างทำงาน advisory ถ้าไปเจอจุดอ่อนของ control ขึ้นมา จะรายงานใคร ตอบตามความหนัก

  • จุดอ่อนเล็กน้อย (minor) → รายงานให้ management ของงานนั้นพอ
  • ความเสี่ยงที่มีนัยสำคัญ / จุดอ่อนที่เป็น material → รายงาน management และส่งขึ้นถึง senior/executive management, audit committee, และ board ตามความเหมาะสม

⚠️ กับดัก: อย่าเพิ่งกระโดดเอาเรื่อง minor ขึ้น board ทันที เรื่องเล็กจบที่ management ในทางกลับกัน พอเป็นเรื่องใหญ่จริง ก็อย่าเลือกแค่ปลายทางเดียว (board อย่างเดียว หรือ audit committee อย่างเดียว) เพราะมันอาจส่งขึ้นได้ทุกระดับ (“ถูกทุกข้อ” ก็เป็นคำตอบได้ในบางโจทย์)

และคนที่ ตัดสิน ว่าข้อมูล advisory ไหนควรส่งขึ้นไปถึงระดับสูง คือ CAE ไม่ใช่ management ไม่ใช่ board CAE เป็นคนกำหนดว่าอะไรควรได้รับและสื่อสาร แล้วก็คอยให้ senior management กับ board รับรู้ผลงานและการใช้ทรัพยากรของกองอยู่เสมอ

ขอบเขตงานปรึกษา ตกลงร่วมกัน ไม่ใช่แกะจาก template#

จุดต่างสำคัญอีกจุดระหว่าง advisory กับ assurance — การตั้งวัตถุประสงค์และขอบเขต (scope)

  • advisory: วัตถุประสงค์และ scope ตกลงร่วมกันกับ management ของ activity under review โดยดูจาก engagement objectives + การประเมินความเสี่ยงเชิงลึก + เสียงสะท้อนจาก stakeholder
  • assurance: วัตถุประสงค์ ผู้ตรวจเป็นคนตั้งหลักเป็นส่วนใหญ่

⚠️ กับดัก: ตัวหลอกคือตัวเลือกที่บอกว่าตั้ง scope จาก “เกณฑ์สำเร็จรูป / template ที่มีอยู่แล้ว / ข้อมูลในอดีต / procedure ประจำ” ผิด เพราะมันข้ามความเสี่ยงปัจจุบันและเสียงของ stakeholder ไป หรือตัวเลือกที่มีของถูกอยู่บ้าง แต่ตกหล่นการประเมินความเสี่ยงหรือวัตถุประสงค์ไป อันนี้แคบเกิน คำตอบคือตัวที่มัดรวมทั้งสาม (objectives + risk + stakeholder)

แล้วก็ระวังการพลิกกฎ assurance มาสวม ถ้าตัวเลือกบอกว่า advisory ตั้ง scope “โดยผู้ตรวจเป็นหลัก” นั่นคือ pattern ของ assurance ไม่ใช่ advisory ในงาน advisory ผู้ตรวจดูแลความเสี่ยงตามวัตถุประสงค์และคอยเฝ้าระวังเรื่องอื่นด้วย แต่ ไม่ได้เข้าไปบริหารความเสี่ยงแทน

Benchmarking — เทียบกับใคร เทียบเรื่องอะไร#

หนึ่งในงาน advisory คลาสสิคคือ benchmarking — การเปรียบเทียบผลงานขององค์กรกับหน่วยงานอื่นที่ขึ้นชื่อเรื่อง best practice เพื่อหาช่องว่างที่ต้องปรับปรุง ในงานนี้ผู้ตรวจทำหน้าที่เป็นผู้อำนวยความสะดวกหรือที่ปรึกษาในการหาและประเมิน benchmark ที่เหมาะสม อาจช่วยวางกรอบการทำ benchmarking ด้วยก็ได้ แต่ก็ยังอยู่ในบทที่ปรึกษา ไม่ได้ไปบริหารเอง

มุมเถ้าแก่/สภา: benchmarking คือกระจกที่บอกเถ้าแก่ว่า “ที่ว่าเราปิดงบเร็วแล้วเนี่ย เร็วจริงหรือเปล่าเมื่อเทียบกับคนอื่น” ร้านที่คิดว่าตัวเองเก่งที่สุดในเครือ อาจไม่ได้เก่งเลยเมื่อเทียบกับคู่แข่งข้างนอก การเทียบทำให้เห็นช่องว่างที่ถ้าไม่เทียบก็มองไม่เห็น แล้วนำไปสู่กำไรที่ดีขึ้น

จับให้ได้ว่านี่คือ benchmarking ไม่ใช่ตัวปลอมที่หน้าตาคล้าย#

⚠️ กับดัก: ข้อสอบจะเอาเครื่องมือบริหารตัวอื่นมาวางล้อม — reengineering, continuous improvement (พวกนี้ออกแบบใหม่หรือค่อยๆ ปรับ ไม่ใช่การเทียบ), balanced scorecard, EVA, TQM, statistical process control, budget, forecast (พวกนี้เป็นการวางแผน/ติดตาม ไม่ใช่การเทียบกับคนอื่น) และตัวแฝดที่ใกล้ที่สุดคือ best-practice analysis — มันกว้างกว่า (best practice ข้ามอุตสาหกรรม) ดังนั้นถ้าโจทย์แค่ไปดู metric ในอุตสาหกรรมเดียวกัน คำตอบคือ benchmarking ไม่ใช่ best-practice analysis

ถามสองคำถามตามลำดับ หนึ่ง แก่นของมันคือ “การเปรียบเทียบกับสิ่งที่ดีที่สุด/กับ reference ภายนอกเพื่อหาช่องว่าง” หรือเปล่า ถ้าไม่ใช่ = เป็นเครื่องมือออกแบบ/ติดตาม ตัดทิ้ง สอง ถ้าใช่ มันเทียบแค่ metric อุตสาหกรรมทั่วไป หรือเทียบกับ best-in-class ที่รับรองแล้ว ถ้าแค่ metric ทั่วไปให้ตัด best-practice analysis ทิ้งแล้วเลือก benchmarking ส่วน budget กับ forecast เป็นแผนอนาคต ไม่ใช่การเทียบ เห็นปุ๊บตัดได้ทันที

เทียบกับใคร — ชนิดของ benchmark#

  • internal — เทียบกับหน่วยงานอื่นใน องค์กรตัวเอง เช่น ร้านสาขาต่างๆ ในเครือเทียบกันเอง (จุดอ่อน: ร้านที่เก่งสุดในเครืออาจไม่เก่งเมื่อเทียบกับคนนอก)
  • competitive — เทียบกับองค์กร อุตสาหกรรมเดียวกัน/คู่แข่งตรง (ปัญหา: คู่แข่งไม่ค่อยยอมแบ่งข้อมูล)
  • functional/process — เทียบกับหน่วยที่ทำ function ที่เกี่ยวข้องกันในสายเทคโนโลยีเดียวกัน เหมาะกับตอนเปิดสายธุรกิจใหม่ (หรือ generic คือ process เดียวกันแต่ต่างอุตสาหกรรม เช่น A/P ของโรงงานเทียบกับของธนาคาร)
  • strategic — ทบทวนแนวทาง/โมเดลธุรกิจเพื่อยกระดับการวางกลยุทธ์

⚠️ กับดัก: competitive ถูกโยนมาหลอกทุกครั้งที่ฉาก “อาจเกี่ยวกับคู่แข่ง” แต่มันใช้ได้เฉพาะการเทียบในอุตสาหกรรมเดียวกันเท่านั้น แผนกหนึ่งหรือ process ข้ามอุตสาหกรรมไม่ใช่ competitive ส่วน internal ถูกโยนมาหลอกตอนเปิดสายธุรกิจใหม่หรือแผนกเฉพาะทาง อันนี้ก็ผิด เพราะ internal เผยไม่ได้ว่าข้างนอกองค์กรเขาทำได้แค่ไหน

generic กับ functional ก็สลับกันบ่อย: generic = process เดียวกันไม่ว่าอุตสาหกรรมไหน (A/P โรงงานเทียบธนาคาร), functional = function ที่เกี่ยวข้องในสายเทคโนโลยีเดียวกัน (เหมาะกับสายธุรกิจใหม่) อ่านให้ออกว่าโจทย์ระบุ “คู่เทียบ” เป็นใคร แล้วเลือกชนิดตามคู่เทียบนั้น

เทียบเรื่องอะไร — สองแกนต้องอ่านให้ครบ#

benchmark ตัวหนึ่งมีสองแกน อ่านให้ครบทั้งคู่ก่อนตอบ ⚠️ กับดัก:

  • แกนเรื่อง: เป็นหน่วยเงินไหม → เป็น = financial, ไม่เป็น (%, เกรด, เวลา) = nonfinancial
  • แกนแหล่ง: โรงงาน/หน่วยงานตัวเอง = internal, ของคู่แข่ง/อุตสาหกรรมเดียวกัน = competitive, ต่างอุตสาหกรรม = process/generic

เช่น % การส่งของตรงเวลาที่โรงงานที่ดีที่สุดของบริษัทเอง = internal nonfinancial ส่วน bad debt write-off (เป็นเงิน และเป็นสัญญาณ fraud ในรายงานได้) = financial และ labor rate ของโรงงานคู่แข่ง = competitive financial

ตัวหลอกคือให้ตัวเลขเงินที่โรงงานตัวเอง ตอนที่โจทย์อยากได้ nonfinancial (เช่น cost-per-pound เป็น financial จึงตกโจทย์ “internal nonfinancial”) หรือถูกแกนเงินแต่ผิดแกนแหล่ง และระวังตัวหลอกที่เป็น “เพดาน/limit/cap” (เช่นกำหนดวงเงิน 50,000) นั่นคือ control ภายใน ไม่ใช่ benchmark เห็นคำว่าเพดานให้ตัดออกได้เลย

งานที่ปรึกษาอื่นๆ — จับนิยามให้ตรงชื่อ อย่าเดาจากบรรยากาศ#

subunit สุดท้ายรวมงาน advisory หลายตัวที่มีชื่อเฉพาะ ข้อสอบชอบเอานิยามของงานที่ ผิดชนิด มาวางเป็นตัวหลอก แต่ละงานมีคำถามนิยามเพียงข้อเดียวที่ตอบได้แค่ชนิดเดียว

  • due diligence — คำถามเดียวคือ “การมีอยู่ของ ความสมเหตุสมผลทางธุรกิจของธุรกรรมใหญ่ (ควบรวม, ร่วมทุน, ขายกิจการ) นั้นถูกต้องหรือไม่” มีคำว่า business combination / merger / acquisition / divestiture / JV เมื่อไหร่ ให้นึกถึง due diligence ทันที
  • compliance — คำถามเดียวคือ “ทำตามกฎหมาย ระเบียบ นโยบาย ขั้นตอน หรือไม่”
  • business process reengineering (BPR) — “คิดใหม่หมดจากศูนย์ ออกแบบใหม่แบบถอนราก ไม่สนว่าวันนี้ทำยังไง” ⚠️ กับดัก: ตัวหลอกคือการเอา automation / เพิ่มเครื่องจักร / ย้ายงานมือไป computer / ค่อยๆ ปรับให้ลื่นขึ้น มาแทน — ทั้งหมดนี้คือ ตรงข้าม กับ reengineering
  • performance — ⚠️ กับดัก: แยกด้วย verb ถ้า “วัด (measure) ว่าทำได้ตาม KPI แค่ไหน” = performance assurance ถ้า “ทำงานกับลูกค้าเพื่อ improve ผลงาน” = advisory คำว่า measure กับ improve แยกสองบทออกจากกัน

⚠️ กับดัก: ตัวหลอกคือนิยามที่ถูกต้องของงาน ผิดชนิด เช่น environmental (control ของเสียอันตราย), privacy (ความปลอดภัยของข้อมูลส่วนบุคคล), contract (การกำกับสัญญาก่อสร้าง) — วางไว้ดักคนที่จำชื่อมาครึ่งๆ กลางๆ ให้ map โจทย์เข้ากับนิยามที่มีเพียงชนิดเดียวเท่านั้นที่ตอบได้

ใน BPR และงาน process: แนะนำได้ ลงมือทำเองไม่ได้#

หลักเดิมกลับมาอีกครั้งในบริบท reengineering ผู้ตรวจ แนะนำ ให้คำปรึกษา จัดทำ/ตรวจสอบความถูกต้องของ process map เพื่อหาช่องว่าง control ระบุ control ที่มีอยู่ พัฒนา audit plan สำหรับระบบใหม่ ได้ทั้งหมด

⚠️ กับดัก: แต่สิ่งที่ทำไม่ได้ ถูกแต่งให้ฟังดูมีประสิทธิภาพหรือ “เป็นส่วนหนึ่งของ mandate” — เช่น “implement / directing การติดตั้ง process ที่ออกแบบใหม่”, “approve ตัว initiative และคำแนะนำ” (การอนุมัติเป็นของ senior management และ board ไม่ใช่ CAE), “มี autonomy เต็มที่เหนือการออกแบบและติดตั้ง”, “กำกับทุกการเปลี่ยนแปลงเพื่อคุม control ไว้เอง”, “ออกแบบ control ใหม่ล้วนๆ จากผล mapping” (การออกแบบ control เป็นงานฝ่ายบริหาร ผู้ตรวจแค่ verify และ identify control) ทั้งหมดนี้ทำให้ independence และ objectivity เสียหาย เทคนิค: คำตอบที่ถูกมักเป็น verb ที่ ถ่อมที่สุด — recommend, verify, prepare map เพื่อหาช่องว่าง

ขอบเขต due diligence: ประเมินความเสี่ยงเข้า ตัดสินคดี-ตีราคาออก#

ในงาน due diligence โฟกัส หลัก ของผู้ตรวจคือ ผลกระทบต่อความเสี่ยงองค์กร (organizational risk) เพราะเหตุผลปกติของการควบรวมคือการบริหารความเสี่ยง งานตรวจ compliance กับกฎหมายและการประเมินประสิทธิภาพการดำเนินงานก็อยู่ใน scope

⚠️ กับดัก: ระวัง polarity ของโจทย์ ถ้าถามโฟกัสหลัก (positive) → ตอบ organizational risk อย่าไปเลือก “ผลกระทบต่อการแข่งขัน / แรงงาน / ราคาหุ้น” ที่ถูกวางล่อ

แต่ถ้าถามว่า scope ไม่รวม อะไร (negative) → เลือกงานที่ต้องใช้ ความเชี่ยวชาญนอกสายตรวจ คือ การประเมินว่าคดีความมีมูลหรือไม่ (ต้องใช้ความรู้กฎหมาย) หรือ การตีราคา/ประเมินมูลค่าทรัพย์สิน (ต้องใช้นักประเมิน) ส่วนงานตรวจ compliance กับกฎหมาย ตรวจ loan-covenant ตรวจประสิทธิภาพการดำเนินงาน พวกนี้ยังอยู่ ใน scope พอเป็นโจทย์ negative พวกนี้ก็กลายเป็นตัวหลอก

ขอเก็บงาน advisory อื่นๆ ที่โผล่ในบทนี้แบบผ่านๆ ด้วย — การอบรมความตระหนักเรื่องความเสี่ยงและ control (ผูกกับ control self-assessment และการหนุนวัฒนธรรมจริยธรรม), การทบทวนการพัฒนาระบบ (system development review เพื่อให้ control กับ audit trail ฝังอยู่ตลอด life cycle), การประเมินเรื่อง data privacy (แนะให้ฝ่ายบริหารเสริม control ความเป็นส่วนตัวได้ แต่ไม่รับเป็นเจ้าของงานนั้น) ทุกตัวยึดหลักเดิม: ช่วย แนะ ประเมิน ได้ แต่ไม่รับบทเจ้าของหรือผู้ตัดสินใจ

ตารางกับดักรวม#

สถานการณ์คำตอบหลอกคำตอบจริง
advisory ให้อะไรformal opinion / independent evaluation / คำแนะนำที่ bindingคำปรึกษา/ข้อเสนอแนะที่ไม่ผูกมัด ไม่มี formal opinion
ใครออกความเห็นเป็นทางการadvisoryassurance เท่านั้น (อิสระ + formal conclusion)
ผู้จัดการขอให้ช่วยออกแบบ+ติดตั้งระบบผู้ตรวจ implement/join ทีมติดตั้งให้แนะนำได้ แต่ implement เป็นงานฝ่ายบริหาร
ถามว่าอะไรทำให้ objectivity เสียให้ feedback ตามปกติผู้ตรวจออกแบบ+ติดตั้ง control ให้ฝ่ายบริหาร
แปลงระบบครั้งเดียวจบformal / emergencyspecial
อบรม control ต่อเนื่องตามแผนspecial / informalformal
assurance บนของที่เพิ่งให้คำปรึกษา <1 ปีปฏิเสธทันที / conflict of interest / รอ 6 เดือนpresumed impaired แต่บรรเทา (คนละคน, แยก supervision, เปิดเผย); สะอาดเมื่อครบ 1 ปี
potential impairment บนงาน advisoryถอนตัว / เปิดเผยต่อ boardเปิดเผยต่อ engagement client ก่อนรับงาน
เจอจุดอ่อน minor ระหว่าง advisoryส่งขึ้น board ทันทีบอก management พอ
ใครตัดสินว่าข้อมูล advisory ไหนส่งขึ้นระดับสูงmanagement / boardCAE
ตั้ง scope งาน advisorytemplate / ข้อมูลอดีต / ผู้ตรวจตั้งเป็นหลักตกลงร่วมกับ management (objectives + risk + stakeholder)
เทียบ metric อุตสาหกรรมเพื่อหา gapbest-practice analysis / scorecard / EVAbenchmarking
A/P โรงงานเทียบกับธนาคารcompetitivegeneric/process
ปรับผลงานให้ดีขึ้นสำหรับสายธุรกิจใหม่internalfunctional
เพดานวงเงิน 50,000 ในลิสต์ benchmarkbenchmark ตัวหนึ่งเป็น control ไม่ใช่ benchmark
ความถูกต้องของธุรกรรมควบรวมcompliance / operationaldue diligence
ออกแบบใหม่จากศูนย์ vs เพิ่ม automationautomation คือ reengineeringreengineering = คิดใหม่หมด, automation คือตัวหลอก
วัดว่าองค์กรทำได้ตาม KPI แค่ไหนperformance advisoryperformance assurance (measure=assurance, improve=advisory)
scope due diligence ไม่รวม อะไรตรวจ compliance / ประสิทธิภาพประเมินมูลคดี (กฎหมาย) / ตีราคาทรัพย์สิน (valuation)
โฟกัสหลักของ due diligenceผลต่อการแข่งขัน/แรงงาน/ราคาหุ้นผลต่อ organizational risk

สิ่งที่จดสำหรับวันสอบ#

  • advisory = ให้คำแนะนำ ไม่ออกความเห็น ไม่รับบทบริหาร — formal opinion / independent evaluation เป็นของ assurance เสมอ
  • อ่านครึ่ง advisory ของตัวเลือกก่อน เจอ formal opinion / required / binding = ตัดทิ้ง
  • แนะได้ ทำแทนไม่ได้: implement / manage / decide / direct / own = งานฝ่ายบริหาร; แต่ถ้าโจทย์ถาม “อะไรทำให้เสีย objectivity” ให้เลือกตัวที่ออกแบบ+ติดตั้ง control
  • ชนิดงาน: วางแผน+ต่อเนื่อง=formal, ครั้งเดียวจบ=special, วิกฤตไม่ได้วางแผน=emergency, ประจำ=informal, ช่วยเขาประเมินเอง=facilitative, สอนให้ความรู้=educational
  • cooling-off = 1 ปีเต็ม; assurance บนของเก่าตัวเอง <1 ปี = presumed impaired แต่ บรรเทา ไม่ปฏิเสธ; advisory บนของเก่าทำได้เสมอ
  • potential impairment → disclose ต่อ engagement client (ไม่ใช่ board, ไม่ถอนตัว, ไม่ปิดบัง)
  • minor → management; substantial/material → ขึ้นถึง senior mgmt + audit committee + board; คนตัดสินว่าส่งอะไรขึ้น = CAE
  • scope advisory = ตกลงร่วมกับ management (objectives + risk assessment + stakeholder); assurance = ผู้ตรวจตั้งเป็นหลัก
  • benchmarking = เทียบกับ best เพื่อหา gap; ตัวปลอมคือ reengineering/scorecard/EVA/budget/best-practice analysis
  • benchmark สองแกน: เงิน=financial, โรงตัวเอง=internal — อ่านให้ครบทั้งคู่; เพดาน/cap = control ไม่ใช่ benchmark
  • due diligence: โฟกัสหลัก = organizational risk; scope ไม่รวม = ประเมินมูลคดี + ตีราคาทรัพย์สิน
  • BPR = คิดใหม่หมด (automation คือตัวหลอก); performance measure=assurance, improve=advisory
  • Standard number ต่างๆ จำ เจตนา ของหลักพอ ไม่ต้องท่องเลข

เมนูงานทั้ง assurance และ advisory ครบแล้ว เหลือด่านสุดท้ายของ Part 1 ที่หนักที่สุด — ศึกกับคนโกง ตอนหน้าเราเปิด arc fraud กัน เริ่มจาก fraud triangle กับการแยกประเภทการทุจริต ตอนถัดไป: ความเสี่ยงและประเภทของ fraud ครับ

อ้างอิง: Gleim CIA Review (2026), Part 1 · IIA Global Internal Audit Standards (2024)