1466 คำ
7 นาที
CIA Series ตอนที่ 13 : P1 - Fraud I: แผนที่การทุจริต
สารบัญ

เอาตรงๆ ตอนนี้เป็นตอนที่นั่งอ่านแล้วขนลุกที่สุดตอนหนึ่งครับ เพราะมันคือศึกใหญ่ครั้งแรกที่กองผู้ตรวจการต้องเจอ — ไม่ใช่เรื่องเอกสารไม่ครบ ไม่ใช่ควบคุมภายในหลวม แต่เป็นเรื่อง “คน” ที่ตั้งใจโกง

ลองนึกภาพตามนะครับ เถ้าแก่เจ้าของอาณาจักรค้าขายเปิดรายงานยอดสาขาปลายเดือน ตัวเลขสวยมาก กำไรขึ้น สต็อกตรง เซ็นผ่านฉลุย นอนหลับสบาย จนวันหนึ่งเงินสดในสาขาหายไปก้อนใหญ่ ทั้งที่กระดาษทุกใบมันบอกว่าทุกอย่างปกติ อ้าว แล้วไอ้ที่รายงานสวยๆ มาตลอดนี่มันคืออะไรกันล่ะ

นี่แหละครับคือโจทย์ของ fraud (การทุจริต) มันไม่ได้โผล่มาเป็นตัวเลขแดงให้เห็นหรอก มันซ่อนอยู่ใต้ตัวเลขที่ดูดีที่สุดนั่นแหละ ตอนนี้จะปูแผนที่ทั้งผืนกันเลย ว่าการโกงมันเกิดจากอะไร มีกี่แบบ ดูออกยังไง แล้วใครต้องรับผิดชอบส่วนไหนบ้าง

ตอนที่แล้วเราปิดฝั่ง advisory — ที่ปรึกษาให้คำแนะนำแต่ไม่ออก formal opinion และไม่ลงมือทำแทนฝ่ายบริหาร บวกเรื่อง cooling-off, การ disclose ต่อ engagement client, benchmarking กับเส้นแบ่ง due diligence/BPR/performance รู้จักงานทั้งเมนูของกองแล้ว ตอนนี้เข้า arc สุดท้ายของ Part 1 ที่หนักที่สุด — fraud

โครงของบท#

  • fraud คืออะไร ในนิยามของ the Standards และทำไม intent (เจตนา) ถึงเป็นหัวใจ
  • fraud triangle — สามเหลี่ยมทุจริต โอกาส-แรงจูงใจ-ข้ออ้าง และกับดักใหญ่ที่สุดของ SU นี้: คุมได้จริงแค่ด้านเดียว
  • ประเภทของ fraud — ขโมยของ (asset misappropriation) vs ปั้นงบ (financial statement fraud) vs corruption และการเรียกชื่อ scheme ให้ถูก
  • red flags — สัญญาณเตือน กับกับดักที่เอาจุดแข็งมาปลอมเป็นธงแดง
  • ใครทำหน้าที่อะไร — management ป้องกัน, IA ประเมิน, และเจอสัญญาณแล้วต้องทำอะไร (ที่ไม่ใช่ไปเผชิญหน้า)

fraud คืออะไร แล้วทำไม “เจตนา” ถึงสำคัญ#

นิยามที่ต้องจำเจตนาไว้ (ไม่ต้องท่องเป๊ะทุกคำนะ) — fraud คือการกระทำที่ ตั้งใจ ใช้การหลอกลวง ปกปิด ไม่ซื่อสัตย์ ยักยอกทรัพย์สินหรือข้อมูล ปลอมแปลง หรือละเมิดความไว้วางใจ เพื่อให้ได้มาซึ่งประโยชน์ที่ไม่ชอบธรรม จะของตัวเองหรือขององค์กรก็ตาม คำที่ต้องขีดเส้นใต้ไว้ในหัวคือ “ตั้งใจ” องค์ประกอบของมันมีสามชั้น คือ มีเจตนาจะโกง แล้วลงมือทำจริง แล้วก็ทำสำเร็จ

ทำไมเรื่องเจตนาถึงสำคัญกับคนสอบ ก็เพราะข้อสอบชอบวางกับดักตรงนี้แหละครับ — ความผิดพลาด (error) กับการทุจริต (fraud) หน้าตางบเหมือนกันเป๊ะ ต่างกันแค่เจตนาอย่างเดียว แล้วมีอีกประเด็นที่ต้องจำให้แม่น: ไม่มีใครในกองเลย ทั้งผู้ตรวจและ management ที่มีอำนาจตัดสินเจตนาทางกฎหมายของคนโกงได้ เรื่อง legal intent เป็นหน้าที่ของศาลเท่านั้น ผู้ตรวจดูได้แค่ว่ามีสัญญาณ มีร่องรอย แต่จะฟันธงว่า “คนนี้มีเจตนาผิดกฎหมาย” ไม่ใช่งานเรา

มุมเถ้าแก่/สภา: fraud risk คือความเป็นไปได้ที่การโกงจะเกิดแล้วทำร้ายอาณาจักร ไม่ใช่แค่เงินหายนะครับ แต่รวมถึงชื่อเสียงกับความไว้ใจของลูกค้าที่ตีราคาไม่ได้ด้วย พอโลกทุกวันนี้ทุกอย่างเป็น digital มากขึ้น ประตูให้คนโกงเข้ามาก็เยอะขึ้นตาม อีเมลปลอม (phishing), หลอกเอาข้อมูลผ่านโทรศัพท์ (vishing), สแกน QR หลอก (quishing) — ภูมิทัศน์ของการโกงหรือ fraud landscape มันกว้างขึ้นเรื่อยๆ เถ้าแก่เลยต้องมีโปรแกรมทั้งชุด ทั้งสร้างความตระหนัก ป้องกัน และตรวจจับ

มุมผู้ตรวจ (คนสอบ): SU นี้กินสัดส่วนหนักใน Part 1 ครับ ทั้ง section ว่าด้วย fraud risks คิดเป็น 15% ของ Part 1 เลย เพราะงั้นเป็นหัวข้อที่ต้องแม่น ไม่ใช่อ่านผ่านๆ

fraud triangle: สามเหลี่ยมที่คุมได้จริงแค่มุมเดียว#

มาถึงพระเอกของตอนแล้วครับ — fraud triangle (สามเหลี่ยมทุจริต) โมเดลนี้บอกว่าเวลา fraud จะเกิด มักมีสามอย่างมาบรรจบกันพอดี:

  • opportunity (โอกาส) — ช่องให้ลงมือได้ เช่น ไม่มี control, control ห่วย, หรือ management ข้าม control เองได้ (management override)
  • pressure / motive (แรงกดดัน/แรงจูงใจ) — ความจำเป็นที่ผลักให้โกง เช่น หนี้ส่วนตัว ปัญหาการเงินในบ้าน หรือแรงกดดันให้ปั้นข่าวดีให้ตลาด
  • rationalization (การหาข้ออ้าง) — ความสามารถในการปลอบใจตัวเองว่าที่ทำน่ะมันสมเหตุสมผล “ใครๆ ก็ทำ” “ฉันควรได้มากกว่านี้”
graph TD
  O["โอกาส<br/>(Opportunity)"] --> F["Fraud<br/>(การทุจริต)"]
  P["แรงจูงใจ<br/>(Pressure)"] --> F
  R["ข้ออ้าง<br/>(Rationalization)"] --> F
  style O fill:#fcd34d,color:#000
  style P fill:#fcd34d,color:#000
  style R fill:#fcd34d,color:#000
  style F fill:#fca5a5,color:#000

ลองอุปมาแบบบ้านๆ นะครับ เหมือนไฟจะติดต้องมีเชื้อเพลิง ออกซิเจน และประกายไฟ ครบสามอย่างไฟถึงลุก แต่นี่แหละคือจุดที่ข้อสอบเล่นงานคนสอบซ้ำแล้วซ้ำเล่า — สามด้านนี้ องค์กรคุมได้จริงแค่ด้านเดียว คือ opportunity

ลองคิดตามนะครับ pressure กับ rationalization มันคือ “สภาพจิตใจ” ของคน หนี้พนันในหัวใครก็ตาม ความรู้สึกว่าตัวเองโดนกดเงินเดือน control ตัวไหนก็เอื้อมไปคุมความคิดในหัวคนไม่ได้หรอก แต่ opportunity ล่ะ อันนี้องค์กรจัดการได้เต็มๆ ล็อกคลังให้ดี แยกหน้าที่ให้ขาด คุมการเข้าถึงเงินสด พอปิดช่องได้ โอกาสก็หายไปเอง

คำว่า opportunity นี้ต้องเข้าใจให้ลึกอีกนิดนะครับ — มันไม่ใช่แค่ “ช่องมีอยู่เฉยๆ” แต่มันคือช่องที่รอให้มีคน ไล่ล่าฉวยใช้ (pursuit/exploitation) ต่อให้มีช่องโหว่ แต่ถ้าไม่มีใครลงมือฉวย ความเสียหายก็ยังไม่เกิด ทีนี้หน้าที่ขององค์กรคือปิดช่องก่อนที่จะมีคนมาฉวย ไม่ใช่รอให้มีคนฉวยแล้วค่อยตามเก็บ

⚠️ กับดัก: โจทย์ถามว่า “fraud risk factor ตัวไหนที่ควบคุมได้ / บรรเทาได้ด้วย control?” ตัวเลือกจะโยน rationalization กับ pressure มาล่อ — ตอบพวกนั้น ผิดทันที คำตอบคือ opportunity ทุกครั้ง เพราะอีกสองตัวเป็นสภาพจิตใจที่ไม่มี control ไหนแตะได้

⚠️ กับดัก: บางข้อแอบยัด “ปัจจัยที่สี่” ปลอมๆ เข้ามา เช่น “ability (ความสามารถ)” ทำเหมือนเป็นส่วนหนึ่งของสามเหลี่ยม — ไม่ใช่ครับ สามเหลี่ยมมีสามมุม จบ

⚠️ กับดัก: ข้อสอบชอบให้เคสแล้วถามว่า “มีปัจจัยครบกี่ตัว” ต้องนับให้เป็น — เคสที่มี “หนี้ + control อ่อน แต่ไม่ได้พูดถึงทัศนคติหรือข้ออ้างเลย” = มีแค่ สองตัว ไม่ใช่สาม อย่าเผลอเติมให้ครบสามเอง

วิธีจับที่ผมใช้อ่านโจทย์คือแปะป้ายแต่ละข้อเท็จจริง:

  • เจอ หนี้ / จำเป็นต้องใช้เงิน / โดนบีบให้ทำยอด → pressure
  • เจอ control อ่อน / เข้าถึงได้อิสระ / ไม่แยกหน้าที่ / override ได้ → opportunity
  • เจอ “ใครๆ ก็ทำ” / “ฉันควรได้มากกว่า” / พนักงานไม่พอใจองค์กร → rationalization

แล้วมีมุมกลับที่ต้องระวัง (cross-angle) — ถ้าโจทย์บอกว่า control แข็งแรง ให้ตีความว่า opportunity หายไป ความเสี่ยงเลยลดลง ต่อให้เคสนั้นจะมีทั้งหนี้พนันและพนักงานขุ่นเคืองครบก็เถอะ ก็ถือว่าความเสี่ยงระดับกลางอยู่ดี เพราะโอกาสมันถูกปิดไปแล้ว

มุมเถ้าแก่/สภา: นี่คือข่าวดีของเจ้าของอาณาจักรครับ — คุมความคิดในหัวลูกน้องไม่ได้ก็จริง แต่ลงทุนปิด opportunity ได้ทั้งหมด นี่แหละเหตุผลว่าทำไมงบด้าน control ถึงคุ้ม มันคือด้านเดียวของสามเหลี่ยมที่เงินซื้อความปลอดภัยได้จริงๆ

มุมผู้ตรวจ (คนสอบ): พอเจอ trigger คำว่า “controllable” “mitigated by controls” “องค์กรจัดการได้” ในโจทย์ ให้ตอบ opportunity อัตโนมัติ นี่คือกับดักที่ออกบ่อยจนต้องเป็น reflex

ประเภทของ fraud: เรียกชื่อ scheme ให้ถูกตัว#

พอเข้าใจว่าอะไรทำให้เกิด fraud แล้ว ต่อไปก็ต้องแยกให้ออกว่า fraud มันมีหน้าตากี่แบบ เพราะข้อสอบชอบเอาชื่อ scheme มาสลับป้ายกันน่ะสิ แกนใหญ่ที่ต้องแยกให้ขาดมีสามกลุ่ม

กลุ่มที่ 1 — asset misappropriation (การยักยอกทรัพย์สิน): ขโมยเงินสดหรือของ ไม่ว่าจะสต็อก อุปกรณ์ หรือข้อมูล มักปกปิดด้วยการแต่งบัญชี เช่น พอซื้อของมา แทนที่จะลงเป็นสินทรัพย์กลับลงเป็นค่าใช้จ่ายเพื่อกลบร่องรอย พวกนี้ส่วนใหญ่เป็นการโกงระดับพนักงาน (low-level fraud) — embezzlement คือพนักงานยักย้ายเงินไปใช้ส่วนตัว, defalcation คือคนที่ดูแลเงินอยู่แล้ว (เช่น ผู้ได้รับมอบหมายให้ถือทรัพย์) ยักยอกเสียเอง

กลุ่มที่ 2 — financial statement fraud (การปั้นงบ): จงใจทำงบให้ผิด — ตีทรัพย์สินหรือรายได้สูงเกิน ซ่อนหนี้สินหรือค่าใช้จ่าย เร่งรับรู้รายได้ ชะลอรับรู้ค่าใช้จ่าย ไม่บันทึกการด้อยค่าทั้งที่ต้องบันทึก หรือจับ lease มาจัดประเภทใหม่ให้ขาดทุนกลายเป็นกำไร พวกนี้เป็น executive-level fraud — ผู้บริหารทำเพื่อดันราคาหุ้น รับโบนัสก้อนโต หรือกลบ fraud อีกอันหนึ่ง สังเกตนะครับว่า low-level fraud ตั้งใจให้ประโยชน์ตกกับ “ตัวบุคคล” แต่ executive fraud ปั้นงบเพื่อประโยชน์ของ “องค์กร” (ซึ่งจริงๆ ก็คือเพื่อตัวผู้บริหารผ่านองค์กรอีกทีนั่นแหละ)

กลุ่มที่ 3 — corruption (การคอร์รัปชัน): การใช้อำนาจโดยมิชอบ เช่น การให้สินบน (bribery) มักทิ้งร่องรอยทางบัญชีน้อยมาก จับได้จาก tip หรือคำร้องเรียนจากคนนอกเป็นส่วนใหญ่ และมักฝังตัวอยู่ในงานจัดซื้อ ในกลุ่มนี้มีตัวย่อยที่ต้องรู้จัก: kickback (เงินทอนใต้โต๊ะ), conflict of interest (ผลประโยชน์ส่วนตัวที่ไม่เปิดเผยในธุรกรรม), diversion (เบี่ยงธุรกรรมที่ควรเป็นของอาณาจักรไปให้พนักงานหรือคนนอก), และ related-party fraud (รับประโยชน์ที่ไม่มีทางได้ถ้าทำแบบ arm’s-length ปกติ)

ทีนี้มีชื่อ scheme สามตัวที่ข้อสอบชอบเอามาสลับกันจนคนสอบมึนไปเลย ต้องท่องให้แม่น:

  • skimming = ขโมยเงินสด ก่อน ที่จะบันทึก เช่น รับเงินลูกค้ามาแต่ไม่ลงบัญชีขาย หรือเรียกเก็บเกินแล้วเก็บส่วนต่างเข้ากระเป๋า
  • lapping = ขโมยเงินที่ลูกค้าจ่ายมา แล้วเอาเงินของลูกค้ารายถัดไปมาโปะบัญชีรายแรก วนไปเรื่อยๆ จนกว่าจะมีคนทัก มีคนมาแทนตำแหน่งแล้วเจอ หรือคนโกงเอาเงินมาคืน
  • check kiting = อาศัย float (ช่องเวลาที่เช็คยังไม่เคลียร์) ระหว่างธนาคาร — เขียนเช็คจากบัญชีที่เงินไม่พอในธนาคารหนึ่ง แล้วเอาไปฝากอีกธนาคารหนึ่ง

⚠️ กับดัก: ข้อสอบชอบเอา asset misappropriation ไปติดป้าย financial statement fraud หรือกลับกัน — จำหลักง่ายๆ งบผิด = ผู้บริหารปั้นรายงาน / ของหรือเงินหาย = พนักงานยักยอก

⚠️ กับดัก: สับ kiting กับ lapping — kiting เล่นกับ float ระหว่างธนาคาร ส่วน lapping ขโมยเงินลูกค้าแล้วโปะด้วยลูกค้ารายถัดไป ถ้าโจทย์ถามว่า “ข้อความไหนเรื่อง check kiting ที่ ผิด” คำตอบคือข้อที่ไปบรรยาย lapping (เช่น “kiting คือการขโมยเงินที่ลูกค้าจ่าย”) นั่นคือ lapping ไม่ใช่ kiting

⚠️ กับดัก: เอา skimming ไปปนกับอย่างอื่น — จำว่า skimming คือเงินหาย ก่อน บันทึกเสมอ เช่น คนขับพาทัวร์เก็บเงินเกินราคาแล้วเก็บส่วนต่าง นั่นคือ skimming

⚠️ กับดัก: “earnings management ที่ไม่เหมาะสม” — อย่าไปตีเป็นการขโมยของ มันคือรูปแบบหนึ่งของ financial statement fraud (ปั้นงบ) ครับ

มุมเถ้าแก่/สภา: ที่ต้องแยกให้ออกก็เพราะมันเป็นภัยคนละแบบกันครับ — พนักงานขโมยของ เจ็บกระเป๋าทีละนิดแต่บ่อย ป้องกันด้วย control พื้นฐานได้ (ล็อกคลัง แยกหน้าที่) ส่วนผู้บริหารปั้นงบนี่อันตรายกว่าเยอะ เพราะคนที่ควรคุม control ดันเป็นคนที่ override มันเอง เรื่องนี้ต้องพึ่ง tone at the top กับการกำกับของสภา

มุมผู้ตรวจ (คนสอบ): โจทย์ประเภทนี้เป็นเกม matching ล้วนๆ ครับ — อ่านกลไก (mechanism) ในโจทย์แล้วโยงชื่อ scheme ให้ตรง อย่าไปจำแค่ชื่อลอยๆ ให้จำว่าแต่ละชื่อมัน “ทำงานยังไง”

red flags: อย่าเผลอเอาจุดแข็งมาปลอมเป็นธงแดง#

red flag (ธงแดง สัญญาณเตือน) เป็นอะไรที่ต้องเข้าใจให้ถูกตั้งแต่นิยามเลยครับ — red flag ไม่ได้บอกว่า fraud เกิดขึ้นแล้ว นะ แต่มันบอกว่า “โอกาสให้เกิด fraud มีอยู่” หรือมีอะไรผิดปกติที่ควรตามต่อ

ตัวอย่าง red flag ที่ควรจับ: เอกสารหายหรือถูกทำลาย, ค่าใช้จ่ายที่ไม่มีเอกสารรองรับ, ผู้บริหารการเงินลาออกเข้าออกถี่ผิดปกติ, vendor รายเดิมชนะประมูลซ้ำๆ แต่แฟ้มเอกสารประมูลหายไป, คนคุมเงินสดไม่เคยหมุนเวียนตำแหน่ง, พนักงานที่ ไม่ยอมลาพักร้อนเลย หรือปฏิเสธการเลื่อนตำแหน่ง (เพราะกลัวคนอื่นมาเจอร่องรอย), ใช้ชีวิตหรูเกินเงินเดือน (lifestyle symptom), ยอดขายโตพรวดไม่สมส่วนกับต้นทุนขาย (ขายโต 30% แต่ต้นทุนโตแค่ 3%), การจัดซื้อแบบ sole-source มากผิดปกติ

นอกจาก red flag ยังมีคำว่า symptom (อาการ) ที่ต้องรู้จักสามแบบ: document symptom (แต่งบัญชีปกปิด เช่น ทำบัญชีสองชุด บังคับให้ยอดกระทบกันได้), lifestyle symptom (ฐานะพุ่งขึ้นแบบอธิบายไม่ได้), และ behavioral symptom (พฤติกรรมเปลี่ยนกะทันหันจากความเครียดในการปกปิด)

ทีนี้กับดักโหดของ SU นี้มันอยู่ตรงนี้แหละครับ — ข้อสอบชอบเอา จุดแข็ง หรือ เรื่องปกติของธุรกิจ มาปลอมเป็น red flag แล้วรอให้เราหลงเลือก

⚠️ กับดัก: control ที่ทำงานดีถูกยัดมาเป็นตัวเลือก “จุดอ่อน” — เช่น การจำกัดสิทธิเข้าคลัง, การนับสต็อกอย่างละเอียด, การมีคู่มือนโยบายครบถ้วน, การแยกหน้าที่ที่ทำถูกต้องแล้ว พวกนี้ ไม่ใช่ red flag มันคือ control ที่กำลังทำงานอยู่

⚠️ กับดัก: เหตุการณ์ธุรกิจปกติถูกแต่งตัวเป็นสัญญาณ — เช่น การเปลี่ยนแปลงคำสั่งซื้อตามปกติ (routine change order), การไม่แจ้งผลกลับให้ผู้เสนอราคาที่แพ้ประมูล, การเทียบงบประมาณกับตัวเลขจริง (budget-to-actual), ผู้จัดการซื้อหุ้นบริษัทตัวเอง, การเปิด blanket purchase order — พวกนี้เรื่องปกติ ไม่ใช่ธงแดง

⚠️ กับดัก: ถ้าโจทย์ถามกลับด้าน “ข้อไหน ไม่ใช่ red flag / เป็นไปได้น้อยที่สุด” ให้เลือกข้อที่เป็น “practice ปกติ” ส่วนถ้าถามว่า “control ตัวไหนที่ เปิดทาง ให้ fraud เกิด” ให้เลือกข้อที่มีคนคนเดียวทั้งบันทึกและถือครองทรัพย์สิน = การแยกหน้าที่ที่พังไป (broken segregation of duties)

⚠️ กับดัก: มีมุมเกี่ยวกับตัว red flag เองด้วย — ถ้าถามว่า “ข้อไหน ไม่ใช่ ความยากลำบากในการใช้ red flags” คำตอบคือข้อที่บอกว่า “วรรณกรรมเรื่อง red flag นั้นมีการศึกษาไว้ดีแล้ว” เพราะการที่มันมีการศึกษาไว้ดีเป็น ตัวช่วย ไม่ใช่ความยาก (ความยากจริงๆ คือ ไม่ใช่ทุก red flag จะโยงกับ fraud และบางตัววัดหรือประเมินยาก)

วิธีถามตัวเองกับทุกตัวเลือกที่ผมใช้: อันนี้มัน “เอาการกำกับดูแลออกไป หรือทิ้งความผิดปกติที่อธิบายไม่ได้” ไหม (เอกสารหาย, ไม่หมุนตำแหน่ง/ไม่ลาพัก, เลือกของนับเอง, ยอดไม่สมส่วน, sole-source) — ถ้าใช่ = red flag แต่ถ้ามันคือ “control ที่ทำงานอยู่ หรือเรื่องปกติ” (จำกัดสิทธิ, นับละเอียด, แยกหน้าที่ถูก, เทียบงบ) = ไม่ใช่ธงแดง

มุมเถ้าแก่/สภา: อันตรายของเรื่องนี้คือ ถ้าอ่าน red flag ผิด เถ้าแก่อาจไปทุ่มทรัพยากรไล่จับผีที่ไม่มีอยู่จริง หรือแย่กว่านั้นคือไปลงโทษพนักงานที่ทำงานตามระบบถูกต้องซะงั้น ความไว้ใจในองค์กรพังทันทีเลยนะครับ ต้องจำไว้ว่า red flag เป็นแค่จุดเริ่มให้ “ดูต่อ” ไม่ใช่คำพิพากษา

มุมผู้ตรวจ (คนสอบ): trigger คำว่า “restricted access” “careful count” “correct segregation” “routine” ในตัวเลือก = สัญญาณว่านี่คือ control/เรื่องปกติ อย่าเลือกเป็นธงแดง

ใครทำหน้าที่อะไร — เส้นแบ่งที่ห้ามพลาด#

มาถึงส่วนที่ข้อสอบวางกับดักหนักที่สุดของ SU นี้แล้วครับ เรื่อง “ใครรับผิดชอบอะไร”

หลักที่ต้องปักธงไว้ในหัวเลยคือ management (ไม่ใช่ IA) ที่มีหน้าที่ป้องกัน fraud เพราะ management เป็นคนคุมทรัพยากรและกิจกรรมขององค์กร การวางแผน ออกแบบ พัฒนา และติดตั้ง fraud-related controls ทั้งหมดเป็นงานของ management ส่วน สภา (board) วาง tone at the top กำหนดระดับความเสี่ยงที่ยอมรับได้ แล้วก็กำกับดูแลงานต้าน fraud ของ management อีกที

แล้ว internal audit function ทำอะไร? บทบาทของ the Standards ชัดเจน — internal auditor ไม่ได้รับผิดชอบ fraud ทั้งหมด แต่ต้อง ตื่นตัว (alert) ต่อความเป็นไปได้ของ fraud เสมอ งานหลักคือ ประเมิน ว่าองค์กรบริหารจัดการ fraud risk ได้ดีแค่ไหน ในฐานะ third line ตาม Three Lines Model กองผู้ตรวจให้ assurance (การให้ความเชื่อมั่น) แก่สภาและ senior management ว่าองค์กรประเมินและจัดการความเสี่ยง fraud ได้ผลจริงหรือไม่

ประเด็นเรื่อง “ความสามารถที่ต้องมี” นี้ ข้อสอบชอบดักมากครับ:

⚠️ กับดัก: ตัวเลือก “ผู้ตรวจต้องมีความสามารถตรวจจับ fraud เท่ากับผู้เชี่ยวชาญด้าน fraud” หรือ “ต้องตรวจจับ fraud ได้” — ผิด เพราะมันขยายหน้าที่เกินจริง ผู้ตรวจไม่ใช่ผู้เชี่ยวชาญด้าน fraud สิ่งที่ the Standards ต้องการคือ มีความรู้ เพียงพอที่จะระบุสัญญาณบ่งชี้ (identify indicators) ของ fraud, ประเมิน fraud risk เป็น, และรู้จัก scheme ที่เกี่ยวกับกิจกรรมที่กำลังตรวจ — แค่นั้น

⚠️ กับดัก: ตัวเลือก “ต้องถือใบรับรอง CFE หรือ CIA ปัจจุบันจึงจะร่วม engagement ได้” — ผิด the Standards ไม่ได้บังคับว่าต้องมีใบรับรองพวกนั้น

⚠️ กับดัก: ตัวเลือก “ต้องลงมือทำ procedure เพื่อเก็บข้อมูล red flag โดยเฉพาะ” — ผิด ผู้ตรวจ ไม่ได้ ลงมือทำ procedure เพียงเพื่อไปเก็บ red flag ตามปกติ ที่ทำคือตื่นตัวและสังเกตระหว่างทำงานปกติ

⚠️ กับดัก: ตัวเลือก “หน้าที่หลักของผู้ตรวจคือตรวจจับและสอบสวน fraud ทั้งหมด” — ผิด เป็นแค่ความตื่นตัว ไม่ใช่การรับประกันว่าจะจับได้ทุกอัน ตอนวาง engagement objective ให้พิจารณา ความน่าจะเป็น (probability) ที่จะมี fraud สำคัญ ไม่ใช่ไปตั้งเป้าตรวจจับ fraud ทุกอย่าง

ทีนี้ประเด็นที่ผมว่าสำคัญที่สุดสำหรับวันสอบเลย — เจอสัญญาณแล้วต้องทำอะไรต่อ

พอเจอ fraud indicator สิ่งที่ถูกคือ ประเมินสัญญาณนั้น (evaluate the indicators) ก่อน แล้วค่อยตัดสินใจว่าควรทำอะไรต่อ / ควรแนะนำให้มีการสอบสวนไหม นี่แหละคือคำตอบ default ที่ถูก

⚠️ กับดัก: ตัวเลือก “รายงานตรงถึง senior management และสภาทันที” — ผิด เพราะเร็วเกินไป การรายงานขึ้นไปรอจนกว่าจะสอบสวนพอที่จะ มั่นใจอย่างสมเหตุสมผล (reasonable certainty) ว่ามี fraud สำคัญเกิดขึ้นจริงเสียก่อน

⚠️ กับดัก: ตัวเลือก “เผชิญหน้าผู้ต้องสงสัย / สัมภาษณ์คนที่เกี่ยวข้อง” — ผิด เพราะจะเป็นการเตือนตัวคนโกงให้ตั้งตัว (ทำลายหลักฐาน) และละเมิดสิทธิผู้ต้องสงสัย

⚠️ กับดัก: ตัวเลือก “ปรึกษาที่ปรึกษากฎหมายภายนอกเอง” — ผิด ผู้ตรวจไม่มีอำนาจนั้น ที่ปรึกษากฎหมายเป็นแค่ฝ่าย advisory

⚠️ กับดัก: ตัวเลือก “ไปสรุปให้ได้ก่อนว่าเกิดความเสียหายเท่าไร (determine the loss)” — ผิด เพราะการไปสืบหาความเสียหายเองอาจเตือนคนโกงให้ทำลายหลักฐาน เรื่อง loss เป็นงานของขั้นสอบสวน

⚠️ กับดัก (cross-angle): ถ้าเป็นการ ค้นพบ fraud กลาง engagement — สิ่งที่ถูกคือ รายงานต่อ CAE แล้วหารือแนวทางร่วมกัน ไม่ใช่วิ่งไปหาสภาเองหรือจัดการเอง

มุมเถ้าแก่/สภา: เส้นแบ่งนี้ปกป้องทั้งอาณาจักรและตัวคนที่ถูกสงสัยแต่อาจบริสุทธิ์ด้วยนะครับ ลองคิดดู ถ้ากองผู้ตรวจกระโดดไปเผชิญหน้าเองแล้วดันกล่าวหาผิด องค์กรอาจโดนฟ้องกลับได้เลย นี่แหละเหตุผลที่ต้องมีขั้นตอนชัดๆ คือ เจอ → ประเมิน → ถ้าสมควรค่อยแนะนำให้สอบสวน → รายงานเมื่อมั่นใจพอ

มุมผู้ตรวจ (คนสอบ): จำ verb ให้แม่น — evaluate / recommend investigation ถูก, confront / report immediately / determine loss / consult counsel ผิด และเจอกลาง engagement = notify the CAE เสมอ

เกร็ด “ของที่กำลังจะมา” — Anti-Corruption Topical Requirement#

ระหว่างอ่านไปเจอเรื่องน่าสนใจครับ — ตอนนี้ IIA กำลังร่าง Anti-Corruption Topical Requirement อยู่ (ยังเป็น public consultation draft) เจ้าพวก Topical Requirement นี่เป็นส่วนหนึ่งของกรอบ IPPF ที่ บังคับใช้ (mandatory) และต้องใช้ควบคู่กับ the Standards — มันตั้งเส้นขั้นต่ำว่าเวลาตรวจเรื่องความเสี่ยงเฉพาะด้าน (ในที่นี้คือ corruption) ต้องทำอะไรบ้าง

สาระที่จับใจความได้: corruption ถูกนิยามกว้างๆ ว่าคือ “การใช้อำนาจที่ได้รับมอบหมายในทางมิชอบเพื่อผลประโยชน์ส่วนตัว” และถือเป็น fraud ชนิดหนึ่ง draft นี้โฟกัสพื้นที่เสี่ยงอย่าง bribery และ kickback, ผลประโยชน์ทับซ้อน, facilitation payment (จ่ายใต้โต๊ะเล็กๆ เร่งงานราชการ), ของขวัญและการเลี้ยงรับรองเกินเกณฑ์, การจ้างคนที่เกี่ยวข้องเป็นการตอบแทน ไปจนถึงการอำพรางสินบนผ่านเงินบริจาคหรือ sponsorship

จุดที่ผมว่าน่าจำสำหรับคนสอบคือ เส้นเดิมยังอยู่ครบ — conformance บังคับสำหรับงาน assurance และแค่ แนะนำ สำหรับงาน advisory แล้วก็ย้ำเรื่องเดิมว่า การ conform ไม่ได้รับประกันว่าจะจับ corruption ได้ทุกกรณี และ Topical Requirement นี้ ไม่ครอบคลุม การลงมือสอบสวน corruption เอง (ก็สอดคล้องกับเส้นที่คุยกันไปแล้วนั่นแหละว่าผู้ตรวจประเมิน ไม่ใช่สอบสวน)

ตอนนี้ยังไม่ลงลึกครับ ยกมาเป็นเกร็ดให้เห็นภาพว่าวงการกำลังขยับไปทางไหน — พอ Topical Requirement ตัวจริงประกาศใช้ค่อยว่ากันอีกที

ตารางกับดักรวม#

สถานการณ์ในโจทย์คำตอบหลอกคำตอบจริง
fraud factor ตัวไหน “คุมได้/บรรเทาด้วย control”rationalization หรือ pressureopportunity เท่านั้น
control แข็งแรง + หนี้พนัน + พนักงานขุ่นเคืองเสี่ยงสูงเพราะครบสามด้านเสี่ยงกลาง เพราะ opportunity หายไป
เคสมีหนี้ + control อ่อน ไม่พูดถึงทัศนคติครบสามปัจจัยมีแค่ สองปัจจัย อย่าเติมเอง
ผู้บริหารตีทรัพย์สินสูงเกิน ซ่อนหนี้สินasset misappropriation / embezzlementfinancial statement fraud
พนักงานยักเงินองค์กรไปใช้ส่วนตัวfinancial statement fraudembezzlement (asset misappropriation)
“kiting คือการขโมยเงินที่ลูกค้าจ่าย” — จริงหรือเท็จจริงเท็จ นั่นคือ lapping ไม่ใช่ kiting
คนขับเก็บเงินทัวร์เกิน เก็บส่วนต่างเข้ากระเป๋าembezzlementskimming (เงินหายก่อนบันทึก)
จำกัดสิทธิเข้าคลัง / นับสต็อกละเอียดred flag / จุดอ่อนไม่ใช่ธงแดง เป็น control ที่ทำงานอยู่
ผู้จัดการซื้อหุ้นบริษัทตัวเอง / เทียบงบ-ผลจริงred flagเรื่องปกติ ไม่ใช่ธงแดง
ข้อไหน “ไม่ใช่ความยาก” ของการใช้ red flagred flag บางตัววัดยากวรรณกรรม red flag ศึกษาไว้ดีแล้ว (เป็นตัวช่วย)
หน้าที่ผู้ตรวจเรื่อง fraudตรวจจับ fraud ได้เท่าผู้เชี่ยวชาญ / ต้องมี CFEมีความรู้พอระบุ indicator ไม่ใช่ผู้เชี่ยวชาญ
เจอ fraud indicator แล้วทำอะไรรายงานสภาทันที / เผชิญหน้าผู้ต้องสงสัยประเมิน indicator แล้วแนะนำให้สอบสวนถ้าสมควร
ค้นพบ fraud กลาง engagementจัดการเอง / แจ้งสภาเองรายงานต่อ CAE แล้วหารือแนวทาง
control ตัวไหนที่ “เปิดทาง” ให้ fraudcontrol ที่ทำงานปกติbroken segregation (คนเดียวบันทึก+ถือครอง)

สิ่งที่จดสำหรับวันสอบ#

  • สามเหลี่ยมทุจริต คุมได้แค่ opportunity — pressure/rationalization เป็นสภาพจิตใจ control แตะไม่ได้ เจอคำว่า “controllable/mitigated by controls” = ตอบ opportunity
  • นับปัจจัยให้เป็น — แปะป้ายทีละข้อเท็จจริง (หนี้=pressure, control อ่อน=opportunity, “ใครๆ ก็ทำ”=rationalization) แล้วนับจำนวนจริง อย่าเติมให้ครบสาม
  • งบผิด = ผู้บริหารปั้นรายงาน / ของหรือเงินหาย = พนักงานยักยอก — จำแกนนี้ก่อนแล้วค่อยจับชื่อ scheme
  • skimming = ก่อนบันทึก · lapping = โปะด้วยลูกค้ารายถัดไป · kiting = float ระหว่างธนาคาร — สามตัวนี้ข้อสอบสลับป้ายบ่อยที่สุด
  • red flag = ความผิดปกติที่เอาการกำกับออกไป — จุดแข็ง (จำกัดสิทธิ, นับละเอียด, แยกหน้าที่ถูก) และเรื่องปกติ (เทียบงบ, change order) ไม่ใช่ ธงแดง
  • management ป้องกัน · board กำกับ tone at the top · IA ประเมินและตื่นตัว — ผู้ตรวจไม่ใช่ผู้เชี่ยวชาญ fraud ไม่ต้องมี CFE/CIA แค่มีความรู้พอระบุ indicator
  • เจอ indicator → ประเมิน → แนะนำสอบสวนถ้าสมควร — ห้ามเผชิญหน้า ห้ามรายงานทันที ห้ามหา loss เอง ห้ามปรึกษา counsel เอง · เจอกลาง engagement = แจ้ง CAE
  • legal intent เป็นเรื่องของศาล — ทั้งผู้ตรวจและ management ตัดสินเจตนาทางกฎหมายไม่ได้ · Standard 4.2 (จำเจตนา ไม่ต้องท่องเลข) เรื่อง due professional care ให้พิจารณาความน่าจะเป็นของ fraud สำคัญตอนวางงาน

รู้แล้วว่า fraud เกิดจากอะไร มีกี่แบบ ดูออกยังไง แต่พอเจอสัญญาณจริงขึ้นมา สองคำถามใหญ่ตามมาทันที — จะกันไม่ให้เกิดซ้ำยังไง แล้วครั้งนี้ใครเป็นคนสืบ ตอนหน้าปิด arc fraud ให้จบ ตอนถัดไป: control กัน fraud และการสอบสวน ครับ

อ้างอิง: Gleim CIA Review (2026), Part 1 · IIA Global Internal Audit Standards (2024)