1299 คำ
6 นาที
CIA Series ตอนที่ 14 : P1 - Fraud II: กันยังไง สืบยังไง
สารบัญ

ลองนึกภาพเถ้าแก่คนหนึ่ง เพิ่งรู้ตัวว่าโดนโกงไปก้อนหนึ่ง เงินหายจากคลังไปเงียบๆ หลายเดือน พอตั้งสติได้ คำถามที่พุ่งเข้าหัวไม่ได้มีข้อเดียว มันมาเป็นคู่เสมอ

คำถามแรก คือ “แล้วทีหลังจะกันยังไงไม่ให้โดนอีก” คำถามที่สอง — “ไอ้ครั้งนี้ที่มันเกิดไปแล้ว ใครจะเป็นคนสืบ แล้วสืบยังไงให้ได้เรื่อง ไม่ใช่ให้มันหลุดคดี”

สองคำถามนี้แหละครับคือทั้งตอน วันนี้เลยไม่คุยแล้วว่า fraud หน้าตายังไง (ตอนก่อนคุยไปแล้ว) แต่จะคุยว่าพอมันเกิดขึ้นจริง องค์กรต้องขยับตัวยังไง แล้วที่สำคัญกว่านั้นสำหรับคนสอบอย่างเรา คือผู้ตรวจสอบภายใน (internal auditor) ยืนตรงไหนในเรื่องนี้ เพราะข้อสอบชอบวางกับดักตรงเส้นแบ่งนี้มาก จนผมต้องมานั่งจดแยกให้ชัด

ต่อจากตอนที่แล้วที่เราปูแผนที่ fraud ทั้งผืน — fraud triangle ที่คุมได้จริงแค่ opportunity, การแยกประเภท (asset misappropriation, corruption, financial statement fraud), การอ่าน red flags ไม่ให้หลงจุดแข็งเป็นธงแดง และเส้นแบ่งว่า management ป้องกัน ส่วน IA แค่ประเมิน คราวนี้เดินต่อไปที่ “แล้วพอมันเกิดจริงล่ะ” — กันซ้ำยังไง และใครเป็นคนสืบ

โครงของบทนี้#

  • ฝั่ง “กัน” — fraud controls: ใครเป็นเจ้าของการควบคุม (management/board) และ IA ทำแค่ประเมิน
  • แยก preventive กับ detective ให้ออก เพราะโจทย์ซ่อนคำตอบผิดด้วยคู่นี้ตลอด
  • segregation of duties สามขา: อนุมัติ / บันทึก / ดูแลทรัพย์สิน + จุดตายของฝ่ายจัดซื้อและ IT
  • ฝั่ง “สืบ” — fraud investigation: IA สนับสนุน ไม่ใช่เจ้าของคดี, forensic คือผู้เชี่ยวชาญ
  • สัมภาษณ์ยังไงไม่ให้เสียรูป, เจอ red flag ทำอะไรก่อน, รายงานขึ้นใคร
  • ปิด arc fraud ด้วยบทเรียนที่ต้องส่งต่อถึงสภา (board)

ใครเป็นเจ้าของการควบคุม — คนละคนกับคนที่ประเมินมัน#

เอาตรงๆ เรื่องนี้ง่ายในชีวิตจริง แต่หลอกในข้อสอบ

ในอาณาจักรของเถ้าแก่ การกันโกงเป็นหน้าที่ของ management เพราะคนที่ถือกุญแจคลัง คุมคน คุมกระบวนการ คือฝ่ายบริหาร ไม่ใช่กองผู้ตรวจการ ฝ่ายบริหารเป็นคนวางระบบ control ขึ้นมา คอยดูแลให้มันทำงาน แล้วก็รับผิดชอบเต็มๆ ว่าจะป้องกัน ยับยั้ง ตรวจจับ และกู้คืนจากการทุจริต (fraud) ยังไง ส่วน board (สภา/คณะกรรมการ) อยู่สูงขึ้นไปอีกชั้น หน้าที่คือวาง tone at the top (น้ำเสียงจากยอด) และกำหนดว่าองค์กรจะยอมรับความเสี่ยงทุจริตได้แค่ไหน แล้วก็คอยดูว่าฝ่ายบริหารทำจริงไหม

แล้ว internal audit function ล่ะ ยืนตรงไหน?

ยืนตรงคำว่า ประเมิน ครับ คำเดียวจบ

ผู้ตรวจสอบภายในมีหน้าที่ช่วยองค์กรด้วยการประเมินความเพียงพอ (adequacy) ความมีประสิทธิผล (effectiveness) และความคุ้มค่าของ control ที่ตอบสนองต่อความเสี่ยง แล้วก็ผลักดันให้มันดีขึ้นเรื่อยๆ สิ่งที่ IA ไม่ได้ทำ คือออกแบบ วางระบบ หรือลงมือ implement control กันโกงเอง อันนั้นเป็นงานฝ่ายบริหาร แต่ IA รับผิดชอบเรื่อง การสร้างความตระหนักเรื่องทุจริต (raise fraud awareness) และประเมินกระบวนการบริหารความเสี่ยงทุจริตขององค์กร

ในบทบาท adviser IA ก็ช่วยฝ่ายบริหารระบุและประเมินความเสี่ยงได้ เช่น ดูว่าระบบสื่อสารอย่าง fraud hotline ป้อนข้อมูลที่ฝ่ายบริหารต้องรู้ครบไหม หรือคอย monitor การเปิดเผยประจำปีว่า code of ethics ครอบคลุมผู้บริหารระดับสูงทุกคนหรือเปล่า

มุมเถ้าแก่: เรื่องนี้สำคัญกับกระเป๋าเงินตรงที่ ถ้าเถ้าแก่เข้าใจผิดว่า “จ้างกองผู้ตรวจการมาแล้ว เดี๋ยวมันกันโกงให้เอง” อันนี้พังเลยครับ เพราะผู้ตรวจไม่ได้ถือกุญแจ ไม่ได้คุมกระบวนการ กันโกงเป็นงานที่เถ้าแก่กับผู้จัดการต้องลงมือเอง ผู้ตรวจแค่มาส่องว่าที่ทำไปมันพอไหม รั่วตรงไหน

มุมผู้ตรวจ (คนสอบ): ตรงนี้แหละที่โจทย์เล่นงานหนักที่สุด กับดักคือมันจะเอา กริยาของฝ่ายบริหารมาแต่งตัวเป็นหน้าที่ของ auditor

ถ้าเห็นตัวเลือกที่ขึ้นต้นด้วย implement, establish, maintain, design control หรือ “แปลงหลักการต้านคอร์รัปชันไปสู่การปฏิบัติทั่วทั้งองค์กร” หรือ “จัดทำการเปิดเผย code of ethics ประจำปี” พวกนี้เป็นงาน management ทั้งดุ้น ตัดทิ้งได้เลย และถ้าเห็นกริยาแบบ “set the tone at the top” หรือ “กำหนด fraud-risk appetite” นั่นคือ board ไม่ใช่ IA (IA แค่ สนับสนุน การกำกับของ board และ ส่งเสริม tone เท่านั้น)

คำตอบจริงเกือบทุกครั้งมีคำว่า evaluate / assess / examine ความเพียงพอและประสิทธิผลของ control หรือไม่ก็ raise awareness / monitor การเปิดเผย

⚠️ กับดัก: ระวังตัวเลือกคำเด็ดขาด — “รับประกันว่าทุจริตจะไม่เกิด” หรือ “ขจัดความน่าจะเป็นของการทุจริตให้หมด” ผู้ตรวจสอบภายในให้ความเชื่อมั่นแบบ absolute ไม่ได้เด็ดขาด เพราะแม้ control ดีที่สุดก็ยังถูก collusion (สมรู้ร่วมคิดกันสองคนขึ้นไป) เจาะได้ ดังนั้นตัวเลือกที่พูดเป็นการรับประกัน = ผิดเสมอ ไม่ต้องคิดต่อ

ป้องกัน กับ ตรวจจับ — อ่านกริยาใน stem ให้ขาด#

ทีนี้เข้าเนื้อ control จริงๆ

ทวนเร็วๆ จากตอน /posts/cia-p1-08-control-language-types/ ที่ปูนิยามไว้แล้ว — preventive คือหยุดก่อนเกิด (เหมือนล็อกประตูคลัง) เช่น จำกัดการเข้าถึง แยกหน้าที่ อนุมัติก่อนลงมือ ส่วน detective คือเจอทีหลัง (เหมือนติดกล้อง นับของทุกเช้า) เช่น reconciliation, trend review, เทียบกับบันทึกอิสระ ตรงนี้ขอโฟกัสที่มุม fraud โดยเฉพาะ ว่าคู่นี้ใช้กันโกงยังไง

จุดที่เป็น fraud โดยตรงคือ การตรวจจับทุจริตในชีวิตจริงบ่อยครั้งมาจากเสียงพนักงานเอง — ผ่าน whistleblower hotline (สายด่วนแจ้งเบาะแส), การสัมภาษณ์ตอนลาออก (exit interview), หรือแบบสอบถามพนักงาน นี่คือ detective control สำหรับ fraud ชั้นดีที่หลายองค์กรมองข้าม

มุมผู้ตรวจ (คนสอบ): วิธีทำข้อพวกนี้ให้รอดคือ วงกริยาใน stem ก่อนเสมอ ว่าโจทย์ถาม “prevent” หรือ “detect” แล้วค่อยจับแต่ละตัวเลือกยัดใส่ถัง

ถ้า stem ถาม “ป้องกัน” แต่ตัวเลือกเป็น “กระทบยอดอัตราค่าจ้างปีละครั้ง” หรือ “หัวหน้าแผนกสอบทาน payroll รายเดือน” หรือ “รายงานอัตโนมัติของ batch ที่ถูกปฏิเสธ” พวกนี้ล้วน detective ผิดหมด เพราะมันเจอทีหลัง ไม่ได้หยุดก่อน กลับกัน ถ้า stem ถาม “ตรวจจับ” แต่ตัวเลือกเป็น dual approval, segregation of duties, จำกัดการเข้าถึงเช็คเปล่า พวกนี้ก็ preventive ผิดหมดเหมือนกัน

⚠️ กับดัก: โจทย์ชอบมีมุมกลับ คือ stem ถามว่าอันไหน “least likely to prevent/detect” (มีโอกาสน้อยที่สุดที่จะป้องกันหรือตรวจจับ) พอเจอ least ต้องพลิกตรรกะ ไปเลือกตัวที่ ไม่ได้ทำอะไร ณ จังหวะที่กริยาพูดถึง เช่น “ให้คนอิสระเป็นคนส่งเช็คทางไปรษณีย์” ซึ่งเกิดหลังอนุมัติและเซ็นเช็คไปแล้ว มันไม่กันและไม่จับอะไรทั้งนั้น เลยกลายเป็นคำตอบที่ถูกในโจทย์แบบ least และอย่าลืม corrective control (แก้ไขหลังตรวจเจอ เช่น patch หรือแก้โปรแกรม) — อันนี้ไม่ใช่ทั้ง preventive และ detective เป็นตัวหลอกยอดฮิตบน stem ที่ถาม “preventive”

มุมเถ้าแก่: เถ้าแก่ควรมีทั้งสองพันธุ์ครับ ล็อกประตูอย่างเดียวไม่พอ เพราะวันหนึ่งกุญแจอาจหลุด ต้องมีคนนับของด้วย การนอนหลับสบายมาจากการมีทั้งด่านหน้า (กัน) และด่านหลัง (จับ) ไม่ใช่ฝากความหวังไว้ที่ด่านเดียว

Segregation of duties — สามขาที่ต้องแยก#

ถ้าจะมี control ตัวเดียวที่ข้อสอบรักที่สุดในหมวดนี้ ก็คือ segregation of duties (การแยกหน้าที่) — ผมเลยจดแยกเป็นหัวข้อของมันเอง

ทวนเร็วๆ จากตอน /posts/cia-p1-09-controls-in-practice/ ที่วางกล่องสามใบไว้แล้ว — Authorization (อนุมัติ) / Recording (บันทึก) / Custody (ดูแลทรัพย์สิน) กฎคือคนคนเดียวไม่ควรถือเกินหนึ่งกล่อง ตรงนี้ขอเจาะเฉพาะมุม fraud ว่าทำไมการแยกกล่องถึงเป็นด่านกันโกง

เหตุผลที่มันสำคัญกับ fraud โดยตรง คือกันไม่ให้คนคนเดียว ทั้งลงมือทุจริตและปกปิดมันได้ในคราวเดียว (perpetrate and conceal fraud or error) ถ้าคนอนุมัติจ่าย เป็นคนบันทึก และถือเงินสดเองด้วย — จบเลยครับ มันโกงแล้วกลบร่องรอยได้ครบวงจร ไม่มีใครถ่วงดุล นี่คือหัวใจว่าทำไม SoD ที่พังถึงเปิดทางให้ perpetrate-and-conceal

มุมผู้ตรวจ (คนสอบ): วิธีทำข้อ — ยุบทุกตัวเลือกลงมาเทียบกับสามขานี้

⚠️ กับดัก: โจทย์ชอบวาง “สามขาปลอม” ที่ดูคล้ายของจริง เช่น “authorization, execution, and payment” หรือ “custody, execution, and reporting” — คำว่า payment กับ execution กับ reporting เป็นคำ เชิงปฏิบัติการ ไม่ใช่ recording ตัวจริง เจอปุ๊บตัดปั๊บ ส่วนตัวเลือกที่ถามว่า SoD มีไว้เพื่ออะไร คำตอบคือ “เพื่อป้องกันคนคนเดียวลงมือและปกปิดทุจริตหรือข้อผิดพลาด” ไม่ใช่คำหลอกจำพวก “ลงรายการบัญชีแล้วจัดทำงบการเงิน” หรือ “บันทึกรับและจ่ายเงินสด” (ซึ่งจริงๆ ทำได้ถ้าไม่มีการถือทรัพย์สินร่วมด้วย)

และมีมุมกลับอีก — stem ถามว่าการแยกคู่ไหน ไม่จำเป็น พอเจอแบบนี้ให้เลือกคู่ที่จริงๆ แล้ว เข้ากันได้ เช่น “อนุมัติการจ่ายเงินอิเล็กทรอนิกส์ และ ตรวจสอบว่าได้รับสินค้า/บริการจริง” — สองอย่างนี้ไม่ต้องแยก เพราะคนที่เซ็นจ่ายหรืออนุมัติ ควร เป็นคนยืนยันว่าของมาถึงจริงอยู่แล้ว มันเป็นการถ่วงดุลในตัว

จุดตายสองจุด: ฝ่ายจัดซื้อ กับ IT#

ในบรรดา SoD ทั้งหมด มีสองจุดที่โจทย์ออกซ้ำๆ จนต้องจำเป็นพิเศษ

ฝ่ายจัดซื้อ — control เพชฌฆาตคือ แยกคนสั่งซื้อออกจากคนรับของ แผนกรับของไม่ควรรับสินค้าถ้าไม่มี “สำเนา blind” ของใบสั่งซื้อที่อนุมัติแล้ว (blind copy = สำเนาที่ปิดจำนวนไว้ ไม่ให้คนรับเห็นว่าควรได้กี่ชิ้น จะได้นับจริงๆ) แล้วก็ส่ง receiving report กับ invoice ตรงไปที่ accounts payable

⚠️ กับดัก: ตัวหลอกฝ่ายจัดซื้อชอบเป็น control ที่ จำกัดขนาด แต่ไม่ได้จำกัด ความถูกต้อง เช่น “ยอดซื้อไม่เกินงบรายเดือน”, “กำหนดวงเงินล่วงหน้า”, ใบ PO เรียงเลข, ยกเลิกเอกสารตอนจ่าย พวกนี้เป็น control จริงก็จริง แต่มันไม่หยุดการซื้อของปลอม/ซื้อเข้ากระเป๋าตัวเอง อีกพวกคือตัวหลอกที่เล็งผิดจุด ได้แก่ หมุนเวียน vendor, รายชื่อ vendor ที่อนุมัติ, ทำสัญญากับ vendor รายใหญ่ — คนโกงก็แค่สร้าง vendor ปลอมรายใหม่ขึ้นมา สิ่งที่แก้ได้จริงคือแยกสั่งซื้อออกจากรับของ

IT — control เพชฌฆาตคือ กัน programmer ออกจากการปฏิบัติงานเครื่อง (computer operations) และโปรแกรมที่ใช้งานจริง (production programs) เพราะถ้า programmer เข้าถึง production ได้ เขาแก้โค้ดและแก้ control ได้ตามใจ เขียนช่องโหว่ฝังไว้ได้เลย

⚠️ กับดัก: ตัวหลอก IT ชอบเป็นสิ่งที่ ไม่ได้กัน การแก้โค้ด เช่น ความปลอดภัยทางกายภาพของห้อง server (programmer เข้าถึงผ่าน data comms ได้อยู่ดี), การให้ผู้บริหารสอบทานรายงานการใช้งานเป็นระยะ, การให้ user มีส่วนร่วมออกแบบ ระบบใหม่ ไม่มีอันไหนหยุดการดัดแปลง production program ที่ใช้อยู่ได้ และยังมีมุมกลับ คือ stem ถามการแยกที่ สำคัญน้อยที่สุด พอเจอ least ให้เลือก “แยก programmer ออกจาก systems analyst” เพราะสองหน้าที่นี้ในทางปฏิบัติมักถูกรวมกันอยู่แล้ว การแยกมันจึงสำคัญน้อยกว่าการแยก programmer ออกจาก operations

มุมเถ้าแก่: เถ้าแก่ฟังแล้วอาจบ่นว่า “ต้องจ้างคนเพิ่มเหรอ แยกงานกันวุ่นวาย” — แต่ลองคิดดูว่าถ้าคนคนเดียวสั่งของ รับของ และจ่ายเงินได้ครบ วันหนึ่งเงินไหลออกทางประตูหลังโดยไม่มีใครรู้เลย ต้นทุนการแยกงานถูกกว่าต้นทุนการถูกโกงเงียบๆ หลายปีมาก

พอเกิดไปแล้ว — ใครสืบ แล้วสืบยังไง#

ข้ามฝั่งมาที่ investigation กันบ้าง คำถามที่สองของเถ้าแก่ตอนต้นเรื่อง

อย่างแรกต้องรู้จักคำว่า forensic auditing (การตรวจสอบเชิงนิติวิทยา) ก่อน มันคือการเอาความรู้บัญชีและการตรวจสอบไปใช้กับเรื่องที่มีผลทางกฎหมายแพ่งหรืออาญา งานอย่างการสืบทุจริต การสนับสนุนคดีความ การเป็นพยานผู้เชี่ยวชาญ ล้วนอยู่ในนี้ วิธีการก็มีสัมภาษณ์ สืบสวน แล้วก็ทดสอบ

ทีนี้คำถามใหญ่ — IA เป็นเจ้าของคดีไหม?

คำตอบคือ ไม่จำเป็น และต้องระวังมาก โดยทั่วไปการสืบทุจริตทำโดยผู้ตรวจสอบภายใน นักกฎหมาย และผู้เชี่ยวชาญอื่นๆ ร่วมกัน แต่การที่ internal audit function เข้าไปนำหรือช่วยสืบ อาจเป็นภัยต่อความเป็นอิสระ (independence) ของ function และความเที่ยงธรรม (objectivity) ของผู้ตรวจ เพราะมันเกิด conflict of interest ขึ้น ไม่ว่าจริงๆ หรือแค่คนมองว่าเป็นก็ตาม

CAE เลยต้องวางวิธีจัดการกับสิ่งที่บั่นทอนความเที่ยงธรรมนี้ไว้ล่วงหน้า และบทบาทของ IA ในการสืบต้องเขียนไว้ชัดใน charter (กฎบัตร) กับในนโยบายทุจริต จะเป็นผู้รับผิดชอบหลัก เป็นแค่ทรัพยากรช่วย หรือถอยออกมาไม่ยุ่งเลยก็ได้ทั้งนั้น ขอแค่รับรู้และจัดการผลกระทบต่อความเป็นอิสระให้เหมาะสม

โดยปกติ IA จะไม่ลงไปเป็นเจ้าของคดี แต่ ประเมิน การสืบและ ให้คำแนะนำ ฝ่ายบริหารเรื่องกระบวนการ รวมถึงการปรับปรุง control

มุมเถ้าแก่: เถ้าแก่อยากให้กองผู้ตรวจการที่ไว้ใจได้ลงไปสางคดีเองใช่ไหมครับ — แต่ถ้าให้คนที่ต้องมาตรวจ ความเป็นกลาง ของการสืบในภายหลัง เป็นคนสืบเองด้วย มันก็เหมือนให้คนสอบตรวจข้อสอบตัวเอง ความน่าเชื่อถือหาย ดังนั้นบางที forensic ผู้เชี่ยวชาญข้างนอกหรือทีมเฉพาะกิจ ทำแล้วสะอาดกว่า

มุมผู้ตรวจ (คนสอบ): จำเจตนาไว้ว่า IA คือ สนับสนุนและประเมิน ไม่ใช่ เป็นเจ้าของและตัดสินความผิด — และย้ำอีกที ผู้ตรวจ (และแม้แต่ฝ่ายบริหาร) ตัดสิน เจตนาทางกฎหมาย ของคนโกงไม่ได้ นั่นเป็นเรื่องของกระบวนการยุติธรรม ผู้ตรวจให้ข้อสรุป (conclusion) เรื่อง control ที่เกี่ยวกับทุจริตได้ แต่ให้ข้อสรุปบน “ความผิด (culpability)” ของผู้ต้องสงสัยไม่ได้เด็ดขาด

สัมภาษณ์แบบไหน — ล่อให้พูด อย่าต้อนให้จนมุม#

การสัมภาษณ์เชิงทุจริต (interrogation) ต่างจากสัมภาษณ์ปกติมาก สัมภาษณ์ปกติคือเก็บข้อเท็จจริง แต่เชิงทุจริตนี่ ผู้ตรวจเก็บหลักฐานสำคัญมาพอแล้ว กำลังหา การยืนยัน ต่างหาก

หลักคือ เดินจากกว้างไปแคบ (general to specific) ใช้คำถามปลายเปิด เป็นกลาง ไม่ชี้นำ ตอนต้น แล้วค่อยใช้คำถามปิดตอนใกล้จบ ฟังให้ดี สังเกตภาษากาย และจับ การเลือกใช้คำ ของผู้ต้องสงสัย ใช้น้ำเสียงไม่คุกคาม และควรมีสองคนสัมภาษณ์ คนหนึ่งจดและเป็นพยาน

มุมผู้ตรวจ (คนสอบ): เลือกตัวเลือกที่ให้ผู้ถูกสัมภาษณ์ พูดด้วยคำของตัวเองมากที่สุด และให้ผู้ตรวจ ชี้นำน้อยที่สุด

⚠️ กับดัก: ตัวหลอกที่ฟังดูเด็ดขาดน่าเลือก เช่น “พยายามรีดคำสารภาพ” หรือ “ถามตรงๆ ว่าคุณเป็นคนโกงใช่ไหม” ล้วนผิด เพราะมันคุกคาม ตั้งสมมติฐานว่าผิดไว้ก่อน และเปิดช่องให้ปฏิเสธ (แถมถ้ากล่าวหาแล้วพิสูจน์ไม่ได้ องค์กรมีสิทธิ์โดนฟ้องกลับ)

ตัวหลอกอื่นๆ ได้แก่ “คำถามชี้นำ”, “คำถามตอบใช่/ไม่ใช่”, “เรียงลำดับตายตัว/สคริปต์ตายตัว/แบบฟอร์มมาตรฐาน” พวกนี้ฟังดูเป็นระเบียบดี แต่มันบล็อกการถามต่อเมื่อเจอคำตอบเหนือความคาดหมาย และต้องห้ามเผยว่าเรารู้อะไรมาแค่ไหน (ปล่อยให้เขาคิดว่าเรามีข้อมูลครบแล้ว) มุมกลับคือ ถ้า stem ถาม “least effective / ไม่เหมาะสมที่สุด” ตัวเลือกรีดคำสารภาพหรือชี้นำนั่นแหละกลายเป็นคำตอบที่ถูก

เกร็ดเล็กที่โจทย์ชอบแอบ — พอสัมภาษณ์เสร็จ ห้ามให้พนักงานกลับไปที่โต๊ะทำงานตัวเองทันที เพราะเขารู้ตัวแล้วว่ากำลังโดนสอบ อาจรีบไปทำลายหลักฐาน

เจอ red flag — สืบเพิ่มก่อน อย่าเพิ่งกล่าวหา#

จำไว้ให้แม่นว่า red flag ไม่ใช่หลักฐานว่าโกง มันแค่บอกว่า โอกาส ในการโกงมีอยู่ เจอสัญญาณแล้วต้องทำอะไรก่อน?

สืบเพิ่มด้วยตัวเองก่อน — ทำ testing เพิ่ม เก็บและตรวจสอบหลักฐานเอง เพื่อแยกให้ออกว่านี่คือ control อ่อน/ความผิดพลาดธรรมดา หรือทุจริตโดยเจตนากันแน่

มุมผู้ตรวจ (คนสอบ): พอเห็นสัญญาณทุจริต เลือกตัวเลือกที่ (ก) สืบก่อนแล้วค่อยยกระดับ และ (ข) เก็บงานไว้ในบ้าน ทำเองอย่างเที่ยงธรรม

⚠️ กับดัก: ตัวหลอกที่ กระโดดข้ามขั้น ได้แก่ “แจ้งตำรวจทันที” (เร็วไป ต้องยืนยันว่าเป็นทุจริตและทำตาม protocol ก่อน), “แนะนำให้ไล่พนักงานออก” (กล่าวหาโดยยังไม่มีหลักฐานยืนยัน), “สรุปว่าไม่มีทุจริตเพราะยังไม่รู้ว่าเสียหายเท่าไหร่” (red flag ต้องตามต่อไม่ว่าจะรู้ยอดเสียหายหรือไม่)

อีกพวกคือตัวหลอกที่ ทำให้เสียความเป็นอิสระ คือ “พึ่งการสอบทานของฝ่ายบริหาร/แผนกที่เกี่ยวข้อง” หรือ “โยนให้/อ้างอิงผู้สอบบัญชีภายนอก” ซึ่ง IA ต้องเก็บ วิเคราะห์ และยืนยันหลักฐานเอง ไม่พึ่งฝ่ายที่อาจมีเอี่ยว และไม่โยนดุลพินิจให้คนนอก (ส่วน “ช่วยนักกฎหมายซักถามพนักงานโดยตรง” ก็เกินบทบาทผู้ตรวจไป)

รายงานขึ้นข้างใน อย่าโทรออกไปข้างนอก#

พอ documented ชัดแล้วว่าเกิดทุจริตจริง ต้องรายงานขึ้น senior management เว้นแต่ผู้บริหารระดับสูงมีเอี่ยวเสียเอง อันนั้นให้รายงานตรงขึ้น audit committee / board เลย

เหตุการณ์ทุจริตที่มีนัยสำคัญ หรือเรื่องที่ทำให้ผู้ตรวจตั้งคำถามต่อระดับความไว้ใจในบุคคล ต้องรายงาน senior management กับ board อย่างทันเวลา (นี่คือหน้าที่การรายงานทันเวลาของ CAE) และถ้างบการเงินปีก่อนๆ อาจได้รับผลกระทบในทางลบอย่างมีนัยสำคัญ ก็ต้องแจ้ง senior management กับ board ด้วย

มุมผู้ตรวจ (คนสอบ):

⚠️ กับดัก: ตัวหลอกที่ สื่อสารออกนอก คือ “แจ้งผู้สอบบัญชีภายนอก / หน่วยงานกำกับ / ฝ่ายบัญชี” ซึ่งการสื่อสารกับภายนอกเป็นงานของ ฝ่ายบริหาร ไม่ใช่ผู้ตรวจสอบภายใน ส่วนตัวหลอกที่ เผยไต๋ คือ “เผชิญหน้าผู้ต้องสงสัย/ผู้จัดการฝ่ายนั้นก่อน” อันนี้ห้ามทำ เพราะเท่ากับเตือนคนที่อาจมีเอี่ยวให้รู้ตัว

เรื่อง ร่างรายงานทุจริต จำให้แม่นว่า ร่างฉบับที่เสนอต้องส่งให้ legal counsel (ที่ปรึกษากฎหมาย) สอบทานก่อน เพื่อให้ได้รับความคุ้มครองตาม attorney-client privilege และเลี่ยงถ้อยคำที่เสี่ยงหมิ่นประมาท ส่วน board/CEO ได้รับ ฉบับสุดท้าย หลังผ่านการสอบทานทางกฎหมายแล้ว ไม่ใช่ร่าง และกรณีผู้บริหารระดับสูงมี conflict of interest ให้เก็บเอกสารสนับสนุนให้ครบก่อน แล้วค่อยนำเสนอต่อประธาน audit committee ไม่ใช่ไปเผชิญหน้าผู้ต้องสงสัยเอง

ขอพูดถึง corruption สักนิด เพราะมันเป็น fraud ชนิดพิเศษ คือการใช้อำนาจที่ได้รับมอบหมายในทางมิชอบเพื่อประโยชน์ส่วนตัว มักทิ้งร่องรอยทางบัญชีน้อย เจอผ่านเบาะแสหรือคำร้องเรียนจากบุคคลที่สาม แล้วก็มักพัวพันกับฝ่ายจัดซื้อ

ในเรื่องนี้ IA ก็ยืนที่จุดเดิม คือ ประเมิน ว่าองค์กรออกแบบและใช้ control ต้านคอร์รัปชันไว้เหมาะสมไหม ประเมิน tone at the top, control เหนือ third party, ระบบ whistleblower แต่การ conform ก็ไม่ได้ให้ความเชื่อมั่นแบบ absolute ว่าจะจับคอร์รัปชันได้ทุกกรณี (ย้ำอีกที ไม่มีคำว่ารับประกันในโลกของผู้ตรวจ)

และงานตรงนี้เป็นเรื่องเทคนิค ถ้า function หรือผู้ตรวจคนไหนมีบทบาทในโปรแกรมต้านคอร์รัปชันหรือช่องทาง whistleblowing เอง ต้องคำนึงถึง objectivity และเปิดเผยบทบาทนั้น เพื่อไม่ให้ขอบเขตงาน assurance เสียไป

ตารางกับดักรวม#

สถานการณ์คำตอบหลอกคำตอบจริง
หน้าที่ IA ต่อ fraud controlimplement / establish / maintain / design controlevaluate ความเพียงพอและประสิทธิผลของ control
ใครวาง tone at the top / กำหนด fraud-risk appetiteผู้ตรวจสอบภายในboard (IA แค่สนับสนุนและส่งเสริม)
ระดับความเชื่อมั่นเรื่องกันโกงรับประกันว่าทุจริตจะไม่เกิด / ขจัดให้หมดให้ความเชื่อมั่นแบบ absolute ไม่ได้ — ผิดเสมอ
stem ถาม “prevent”reconciliation / monitoring / รายงาน batch ปฏิเสธ (detective)จำกัดการเข้าถึง / SoD / authorization ก่อนลงมือ
stem ถาม “detect”dual approval / SoD / จำกัดเช็คเปล่า (preventive)reconciliation / trend analysis / เทียบบันทึกอิสระ
stem ถาม “least likely to prevent/detect”control ที่ทำงานตรงจังหวะกริยาcontrol ที่ไม่ทำอะไร ณ จังหวะนั้น (เช่น ส่งเช็คหลังเซ็นแล้ว)
สามขา SoDauthorization / execution / payment (หรือ reporting)authorization / recording / custody
SoD มีไว้เพื่ออะไรลงบัญชีแล้วทำงบ / บันทึกรับ-จ่ายกันคนเดียว perpetrate and conceal fraud/error
การแยกคู่ไหน “ไม่จำเป็น”แยกอนุมัติจ่ายออกจากยืนยันรับของคู่นั้นเข้ากันได้ — คนอนุมัติจ่ายควรยืนยันรับของ
control จัดซื้อที่กันโกงได้จริงคุมยอดไม่เกินงบ / หมุนเวียน vendor / PO เรียงเลขแยกคนสั่งซื้อออกจากคนรับของ (blind copy)
control IT ที่สำคัญที่สุดความปลอดภัยกายภาพห้อง server / สอบทานรายงานใช้งานกัน programmer ออกจาก operations / production
การแยก IT ที่ “สำคัญน้อยที่สุด”programmer ออกจาก operationsprogrammer ออกจาก systems analyst (มักรวมกันอยู่แล้ว)
IA ในการสืบทุจริตเป็นเจ้าของคดี / ตัดสินความผิดสนับสนุนและประเมิน + จัดการผลต่อ independence
เทคนิคสัมภาษณ์ที่ดีรีดคำสารภาพ / คำถามชี้นำ / สคริปต์ตายตัวปลายเปิด เป็นกลาง กว้างไปแคบ ฟังการเลือกคำ
เจอ red flag ทำอะไรก่อนแจ้งตำรวจ / ไล่ออก / สรุปว่าไม่มีทุจริตสืบเพิ่ม เก็บและตรวจสอบหลักฐานด้วยตัวเองก่อน
รายงานทุจริตขึ้นใครผู้สอบบัญชีภายนอก / หน่วยงานกำกับ / ฝ่ายบัญชีsenior management + board (ผู้บริหารเอี่ยว → audit committee)
ร่างรายงานทุจริตส่งใครก่อนboard / CEO ได้ร่างก่อนlegal counsel สอบทานก่อน (board/CEO ได้ฉบับสุดท้าย)
ใครตัดสินเจตนา/ความผิดทางกฎหมายผู้ตรวจสอบภายใน / ฝ่ายบริหารกระบวนการยุติธรรม — IA ให้ข้อสรุป (conclusion) บน control ได้ ไม่ใช่บน culpability

สิ่งที่จดสำหรับวันสอบ#

  • ท่องคาถา: management เป็นเจ้าของ control, board วาง tone, IA ประเมิน — จับคู่กริยากับเจ้าของให้ขาด
  • เห็นคำ “รับประกัน / ขจัดทุจริตให้หมด” = ผิดทันที ผู้ตรวจให้ความเชื่อมั่นแบบ absolute ไม่ได้
  • วงกริยาใน stem ก่อนเลือก — prevent (หยุดก่อน) vs detect (เจอทีหลัง) และถ้าเจอ least ให้พลิก
  • corrective (แก้หลังตรวจเจอ) ไม่ใช่ทั้ง preventive และ detective — ตัวหลอกยอดฮิต
  • SoD สามขาจริงคือ authorization / recording / custody — payment/execution/reporting เป็นของปลอม
  • จัดซื้อ: แยกสั่งซื้อออกจากรับของ (blind copy) · IT: กัน programmer ออกจาก operations/production
  • การสืบ: IA สนับสนุน ไม่ใช่เจ้าของคดี · เขียนบทบาทไว้ใน charter · จัดการผลต่อ independence/objectivity
  • สัมภาษณ์: ปลายเปิด กว้างไปแคบ ไม่รีดคำสารภาพ ไม่เผยไต๋ · เสร็จแล้วอย่าปล่อยกลับโต๊ะทันที
  • red flag = สืบเพิ่มก่อน อย่ากล่าวหา/ไล่ออก/แจ้งตำรวจก่อนยืนยัน · เก็บหลักฐานเอง อย่าพึ่งฝ่ายที่อาจมีเอี่ยว
  • รายงานขึ้นใน (senior management + board) ไม่ใช่ออกนอก · ร่างส่ง legal counsel ก่อน board/CEO ได้ฉบับสุดท้าย
  • IA ให้ข้อสรุป (conclusion) บน fraud-related control ได้ แต่ห้ามให้ข้อสรุปบนความผิด (culpability) ของผู้ต้องสงสัย

ปิด arc fraud ได้ ก็เท่ากับเดินครบทั้งห้าด่านของ Part 1 แล้ว ตอนหน้าเป็นตอนปิด Part — รวบเสาหลักทั้งหมดให้แม่นก่อนเข้าสนามจริง แล้ววางสะพานข้ามไป Part 2 ตอนถัดไป: ปิดท้าย Part 1 ครับ

อ้างอิง: Gleim CIA Review (2026), Part 1 · IIA Global Internal Audit Standards (2024)