1107 คำ
6 นาที
CIA Series ตอนที่ 15 : P1 - ปิด Part 1: ตราตั้งครบมือ
สารบัญ

ลองนึกภาพเถ้าแก่คนเดิมจากตอนแรกสุด — คนที่เคยนั่งเฝ้าลิ้นชักเงินเองได้ทั้งวัน จนกิจการโตจนเงินไหลผ่านมือคนเป็นสิบก่อนถึงบัญชี รายงานสวยแต่ของหาย แล้วก็ตัดสินใจตั้ง “กองผู้ตรวจการ” ของตัวเองขึ้นมา ผ่านมาสิบสี่ตอน กองนี้ได้กระดาษให้อำนาจ ได้คนที่ถือคุณธรรมถูกตัว ได้ภาษา risk กับ control ไว้คุยกับทั้งอาณาจักร ได้เมนูงานว่าทำอะไรได้ทำอะไรไม่ได้ และเพิ่งผ่านศึก fraud ครั้งแรกมาหมาดๆ

เอาตรงๆ ตอนนี้เหมือนตราตั้งของผู้ตรวจการเพิ่งประทับครบทุกดวง พร้อมออกจากปราสาทไปตรวจสาขาจริง แต่ก่อนก้าวขาออกประตู อยากหยุดนับของในย่ามก่อนครับว่าอะไรอยู่ครบบ้าง เพราะทั้งหมดนี้คือฐานที่ Part 2 กับ Part 3 จะยืนต่อ ตอนนี้เลยไม่มีเนื้อใหม่ ตั้งใจให้เป็นตอน “รวบของ” — เดินย้อน 5 เสาหลักของ Part 1 ทีละต้น ดูว่าแต่ละต้นข้อสอบชอบเอียงกับดักตรงไหน แล้วปิดด้วยตารางกับดักรวมทั้ง Part ไว้กวาดตาก่อนสอบ

ตอนที่แล้วเราปิด arc fraud ให้จบ — ฝั่ง control ที่กันซ้ำ (preventive vs detective, segregation of duties, whistleblower hotline) และฝั่งสอบสวนที่ IA เป็นแค่ผู้สนับสนุนและประเมิน ไม่ใช่เจ้าของคดี พร้อมกฎว่ารายงานทุจริตขึ้นภายในองค์กร ร่างส่ง legal counsel ก่อน นั่นคือด่านที่ห้าและด่านสุดท้ายของ Part 1 พอดี ตอนนี้เลยถึงเวลารวบทั้งหมดในย่ามก่อนออกเดินทาง

โครงของบท#

  • เสาที่ 1 — อำนาจมาจากไหน: mandate จาก board เขียนเป็น charter ไม่ใช่นามบัตร
  • เสาที่ 2 — ยืนตรงได้ยังไง: independence คือตำแหน่งของ function · objectivity คือใจของคนตรวจ — คนละเรื่อง
  • เสาที่ 3 — ใครเป็นเจ้าของ risk/control: management เป็นเจ้าของ ส่วน internal audit ประเมินและให้ความเชื่อมั่น ห้ามข้ามเส้น
  • เสาที่ 4 — งานของกองแบ่งเป็นสองฝั่ง: assurance (ให้ความเชื่อมั่น) กับ advisory (ให้คำปรึกษา) — เส้นแบ่งคือกับดักยอดฮิต
  • เสาที่ 5 — fraud เป็นหน้าที่ร่วม แต่คนละมือ: ทุกคนช่วยกัน แต่ management กันเอง IA ประเมิน forensic สืบ
  • ปิดด้วย ตารางกับดักรวมทั้ง Part + สะพานข้ามสู่การออกตรวจจริง

เสาที่ 1 — ตราตั้ง: อำนาจไม่ได้มาจากตัวผู้ตรวจ#

เริ่มจากคำถามที่ผู้จัดการสาขาถามผู้ตรวจการคนแรกในตอนต้นๆ ว่า “คุณเป็นใคร มีสิทธิ์อะไรมาดูบัญชีผม” คำตอบที่ถูกไม่ใช่การยื่นนามบัตรหรือบอกว่าตัวเองเก่ง แต่คือการชี้ไปที่ mandate — อำนาจ บทบาท และความรับผิดชอบของ internal audit function (หน่วยงานตรวจสอบภายใน) ที่ board มอบให้ แล้วเขียนลงเป็นลายลักษณ์อักษรในสิ่งที่เรียกว่า charter (กฎบัตร)

จุดที่ต้องแม่นคือสายบังคับบัญชา อำนาจไหลลงมาจากข้างบน ไม่ได้งอกจากตัวผู้ตรวจเอง board เป็นคนกำหนดและอนุมัติ mandate ส่วน CAE (chief audit executive — หัวหน้ากองตรวจ) มีหน้าที่ช่วย board ร่างหรือปรับ mandate ให้คมและเสนอ charter ให้ board เคาะ ไม่ใช่ CAE เขียนเองอนุมัติเอง

มุมเถ้าแก่/สภา: charter คือหลักประกันว่ากองตรวจเดินเข้าสาขาไหนก็ไม่มีใครปิดประตูใส่ได้ — สภาซื้อ “ตาอีกคู่” ที่ฝ่ายบริหารสั่งปิดตาไม่ได้

มุมผู้ตรวจ (คนสอบ): ข้อสอบชอบถามว่า “ใครอนุมัติ charter” คือ trigger คำว่า approve คำตอบวิ่งไปที่ board เสมอ ไม่ใช่ CEO ไม่ใช่ CFO ไม่ใช่ CAE และถ้าถามเรื่องเลข ให้จำว่านี่คือเจตนาของ Standard เรื่อง Internal Audit Mandate — จำเจตนาพอ ไม่ต้องท่องเลข

⚠️ กับดัก: ตัวหลอกยอดฮิตคือยัด senior management หรือ CEO มาเป็นผู้อนุมัติ charter หรือให้ CAE “ตัดสินใจ mandate เอง” — ผิดทั้งคู่ อำนาจกำหนดและอนุมัติเป็นของ board ส่วน CAE แค่ช่วยร่างและเสนอ

เสาที่ 2 — ยืนตรง: independence ≠ objectivity#

เสานี้ข้อสอบ Part 1 รักที่สุด และเป็นคู่คำที่ถ้าแยกไม่ออกจะพลาดเป็นชุด

Independence (ความเป็นอิสระ) เป็นเรื่อง เชิงโครงสร้าง — ตำแหน่งของทั้ง function ในองค์กร วัดกันที่ CAE รายงานสายงาน (functional reporting) ตรงไปที่ board ไหม ถ้าสายนี้ถูกลากไปขึ้นกับ CFO หรือฝ่ายที่ตัวเองต้องตรวจ นั่นคือ independence เริ่มสั่นคลอน

Objectivity (ความเที่ยงธรรม) เป็นเรื่อง เชิงใจ ของผู้ตรวจแต่ละคน — ทัศนคติที่ไม่ลำเอียง ไม่ยอมให้เรื่องส่วนตัวมาบิดคำตัดสิน ตัวการที่กัด objectivity คือ self-review (ไปตรวจงานที่ตัวเองเคยทำ), familiarity (สนิทกับคนในหน่วยที่ตรวจเกินไป), การรับ ของขวัญ และผลประโยชน์ทับซ้อน

จำง่ายๆ ว่า independence เป็นเรื่องของ “กอง” ทั้งกอง ส่วน objectivity เป็นเรื่องของ “คน” ทีละคน

มุมเถ้าแก่/สภา: สภามีหน้าที่ ปกป้อง independence ของกองตรวจ ไม่ปล่อยให้ฝ่ายบริหารกดงบหรือกดขอบเขตจนกองทำงานไม่ได้ เพราะกองตรวจที่ถูกฝ่ายบริหารครอบไว้ ก็ให้ความเชื่อมั่นอะไรกับสภาไม่ได้อีก

มุมผู้ตรวจ (คนสอบ): trigger สำคัญคือ “reporting line” กับ “budget/scope limitation” — พวกนี้เป็นเรื่อง independence ระดับ function ส่วนคำว่า “เพิ่งย้ายมาจากแผนกนั้น” “รับของขวัญจากหน่วยที่ตรวจ” “ตรวจงานที่ตัวเองออกแบบ” เป็นเรื่อง objectivity ระดับบุคคล และกฎเหล็กเวลาเจอ impairment คือ ต้องเปิดเผย — เปิดเผยกับใครขึ้นกับว่ากระทบระดับไหน แต่ถ้าเป็น organizational independence ที่สะเทือน สุดทางคือรายงานถึง board

⚠️ กับดัก: ข้อสอบชอบสลับสองคำนี้ให้ตอบสับ เช่น เอาสถานการณ์ reporting line (ควรตอบ independence) มาถามว่า “กระทบ objectivity ของผู้ตรวจคนนี้ไหม” หรือเอาเรื่องรับของขวัญส่วนตัว (objectivity) มาห่อว่าเป็นปัญหาโครงสร้าง อ่านให้ขาดว่าโจทย์กำลังพูดถึง “ทั้งกอง” หรือ “คนคนเดียว” อีกตัวหลอกคือให้ safeguard ที่ฟังดูดีอย่าง “มี supervision เป็นครั้งคราว” มาแก้ self-review ที่ร้ายแรง — บางกรณี safeguard ไม่พอ ต้องถึงขั้นเปลี่ยนคนหรือ outsource

เสาที่ 3 — ใครเป็นเจ้าของ risk และ control#

พอกองมีภาษา risk กับ control ไว้คุยกับทั้งอาณาจักรแล้ว เส้นที่ห้ามข้ามเด็ดขาดคือเส้นความเป็นเจ้าของ

กติกาเหล็กมีประโยคเดียว: management เป็นเจ้าของ risk และ control ฝ่ายบริหารเป็นคนตัดสินใจว่าจะรับความเสี่ยงแค่ไหน (risk appetite) เลือกตอบสนองความเสี่ยงยังไง และออกแบบติดตั้ง control เอง ส่วน internal audit function มีหน้าที่ ประเมินและให้ความเชื่อมั่น (assurance) ว่าระบบที่ฝ่ายบริหารทำไว้มันเวิร์กจริงไหม — ห้าม own risk ห้ามเป็นคนเลือกหรือติดตั้ง control เอง เพราะถ้าทำเอง ก็ต้องไปตรวจงานตัวเองทีหลัง objectivity พังทันที

กรอบที่จัดระเบียบเรื่องนี้คือ Three Lines Model ของ IIA: first line คือฝ่ายที่ทำงานและเป็นเจ้าของ risk/control โดยตรง, second line คือฝ่ายที่คอยกำกับดูแลความเสี่ยง (เช่น risk management, compliance), ส่วน internal audit เป็น third line ที่ให้ความเชื่อมั่นอย่างเป็นอิสระ และภาษามาตรฐานเรื่องประเภทความเสี่ยงก็อยู่ในเสานี้ — inherent risk (ก่อนใส่ control) กับ residual risk (หลังใส่ control แล้วยังเหลือ)

มุมเถ้าแก่/สภา: เจ้าขององค์กรต้องเลิกคิดว่า “มีกองตรวจแล้ว risk เป็นของกองตรวจ” — ความเสี่ยงยังเป็นภาระฝ่ายบริหารเหมือนเดิม ถ้าปล่อยให้กองตรวจไปคุมความเสี่ยงเอง เท่ากับสภาเสีย “ผู้ตรวจอิสระ” ไป แล้วได้ผู้จัดการความเสี่ยงที่ไม่มีใครมาตรวจอีกทีมาแทน

มุมผู้ตรวจ (คนสอบ): trigger คือกริยา ถ้าโจทย์ให้ IA ไป “design / implement / own / manage” control หรือ risk → เกือบทั้งหมดคือ คำตอบผิด หรือเป็น impairment ที่ต้องมี safeguard IA ทำได้แค่ assess / evaluate / provide assurance / advise และถ้า IA ต้องเข้าไปช่วยงาน first หรือ second line จริงๆ ต้องมี safeguard และเปิดเผยไว้

⚠️ กับดัก: ตัวหลอกคลาสสิคคือให้ผู้ตรวจ “แนะนำ control ที่เหมาะสมแล้วติดตั้งให้เลย” ฟังดูช่วยเหลือดี แต่พอติดตั้งเองก็กลายเป็นเจ้าของ control ไปตรวจเองไม่ได้ อีกตัวคือสลับ inherent กับ residual จำสั้นๆ ว่า inherent คือ ก่อน ใส่ control, residual คือ หลัง และเจอคำว่า “eliminate risk” ตรงไหนให้สะดุดไว้ก่อนเลย — control ที่ดีแค่ ลด ความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ ไม่มี control ไหนกำจัดความเสี่ยงจนเป็นศูนย์

เสาที่ 4 — เมนูงานสองฝั่ง: assurance กับ advisory#

งานของกองแบ่งเป็นสองฝั่งใหญ่ที่ข้อสอบชอบเอามาสลับป้าย

Assurance (การให้ความเชื่อมั่น) คืองานหลัก ผู้ตรวจเข้าไปประเมินหลักฐานอย่างเป็นกลาง แล้วให้ conclusion (ข้อสรุปของภารกิจ ศัพท์นี้ใช้แทนคำเดิมที่ชอบเรียกว่า opinion) ว่าสิ่งที่สภาเห็นตรงกับความจริงไหม งานฝั่งนี้มีทั้ง operational, compliance, financial, IT security/privacy, quality, การตรวจวัฒนธรรมองค์กร ไปจนถึงการตรวจกระบวนการรายงานผู้บริหาร และมีระดับความเชื่อมั่นสองชั้น คือ reasonable assurance (สูงแต่ไม่สัมบูรณ์) กับ limited assurance (ต่ำกว่า ขอบเขตแคบกว่า)

Advisory (การให้คำปรึกษา — เดิมเรียก consulting) คืองานที่ผู้รับบริการมาขอความช่วยเหลือ เช่น ให้ความเห็นตอนออกแบบระบบ, training, due diligence, benchmarking ลักษณะและขอบเขตงานตกลงกับผู้รับบริการ ต่างจาก assurance ที่ผู้ตรวจเป็นคนกำหนดขอบเขตเองเพื่อความเป็นกลาง

มุมเถ้าแก่/สภา: ได้ประโยชน์ทั้งสองฝั่ง — assurance ทำให้สภานอนหลับเพราะรายงานเชื่อได้ advisory ช่วยสร้างระบบให้ถูกตั้งแต่แรก แต่ต้องระวังไม่ให้กองตรวจรับงาน advisory จนไปออกแบบระบบที่ตัวเองต้องกลับมาตรวจ ซึ่งจะวนไปชนเสาที่ 2 และ 3

มุมผู้ตรวจ (คนสอบ): trigger คือ “ใครกำหนด scope” และ “งานนี้ให้ conclusion ต่อบุคคลที่สามหรือให้คำแนะนำต่อผู้รับบริการ” ถ้าผู้ตรวจกำหนด scope เองและให้ความเชื่อมั่นต่อผู้อื่น = assurance ถ้าผู้รับบริการขอมาและตกลง scope ร่วมกัน = advisory และให้จำว่า reasonable ≠ absolute — ไม่มี audit ไหนการันตี 100%

⚠️ กับดัก: ข้อสอบชอบเอางาน advisory มาแต่งให้ดูเหมือน assurance หรือกลับกัน เช่น “ผู้ตรวจเข้าไปช่วยผู้จัดการสาขาออกแบบขั้นตอนใหม่” ถ้าเผลออ่านว่าเป็นการตรวจจะตอบผิด นี่คือ advisory อีกตัวหลอกคือเรื่องระดับความเชื่อมั่น มันจะล่อให้เลือก “absolute assurance” ซึ่ง ไม่มีอยู่จริง สูงสุดที่ให้ได้คือ reasonable เท่านั้น

เสาที่ 5 — fraud: หน้าที่ร่วม แต่คนละมือ#

ศึกสุดท้ายของ Part นี้คือ fraud และหัวใจของมันไม่ใช่เทคนิคสืบสวน แต่คือ การแบ่งหน้าที่

โครงคิดพื้นฐานคือ fraud triangle — การทุจริตมักเกิดเมื่อครบสามมุม: แรงจูงใจ/แรงกดดัน (pressure), โอกาส (opportunity), และข้ออ้าง (rationalization) ในสามมุมนี้ มุมที่องค์กรคุมได้จริงที่สุดคือ opportunity ผ่าน control อย่างการแยกหน้าที่ ส่วนประเภท fraud หลักๆ ก็มี asset misappropriation (ยักยอกทรัพย์สิน), corruption, และ financial statement fraud

แต่ประเด็นที่ข้อสอบเจาะคือ ใครทำอะไร:

  • management เป็นเจ้าของหน้าที่ ป้องกันและตรวจจับ fraud — วาง tone at the top, ตั้ง control, ทำ segregation of duties, คุมระดับอำนาจอนุมัติ, ตั้ง whistleblower hotline
  • internal audit function มีหน้าที่ใช้ due professional care และ professional skepticism ประเมินว่าองค์กรจัดการ fraud risk ดีพอไหม และคอยระวัง red flag — แต่ ไม่ใช่เจ้าของการป้องกัน และไม่ใช่ผู้รับประกันว่าจะเจอทุจริตทุกกรณี
  • เมื่อเกิด fraud จริงและต้อง สืบสวน ผู้เชี่ยวชาญด้าน forensic เป็นคนนำ ส่วน internal audit สนับสนุน — ไม่ใช่เจ้าของคดี

มุมเถ้าแก่/สภา: control ที่กัน fraud ได้ดีที่สุดไม่ใช่การไล่จับทีหลัง แต่คือบรรยากาศจากข้างบนว่า “ที่นี่ไม่ทนกับการโกง” บวกกับการออกแบบให้คนเดียวโกงแล้วปิดร่องรอยไม่ได้ และช่องทางร้องเรียนที่ปลอดภัยพอให้คนกล้าแจ้ง

มุมผู้ตรวจ (คนสอบ): trigger คือกริยาอีกเหมือนเดิม ถ้าโจทย์ให้ IA เป็นคน “prevent / be responsible for detecting / lead the investigation” ทั้งหมด ระวังไว้ก่อนว่าน่าจะหลอก หน้าที่ป้องกัน-ตรวจจับหลักคือ management ส่วน IA คือ assess fraud risk และคอยสังเกต red flag ระหว่างทำงานตามปกติ

⚠️ กับดัก: ตัวหลอกยอดฮิตคือ “internal audit มีหน้าที่ป้องกัน fraud” ผิด นั่นเป็นของ management อีกตัวคือให้ IA รับบทหัวหน้าทีมสืบสวน forensic เต็มตัว ทั้งที่บทจริงคือสนับสนุนและประสานงาน อีกตัวที่ต้องระวังคือคำว่า “due professional care แปลว่าผู้ตรวจต้องเจอ fraud ทุกครั้ง” — ไม่ใช่เลย due care คือความระมัดระวังแบบมืออาชีพ ไม่ใช่การการันตีว่าจะเจอ

ตารางกับดักรวมทั้ง Part 1#

รวบตัวเด็ดจากทั้งห้าเสามาไว้ที่เดียว เอาไว้กวาดตาก่อนเข้าห้องสอบ กติกาเดียวที่ใช้กับทุกแถวคือ อ่านกริยาและ “ใคร” ในโจทย์ให้ขาดก่อนเลือก

สถานการณ์ในโจทย์คำตอบหลอกคำตอบจริง
ใครอนุมัติ internal audit charterCEO / senior management / CAEboard
CAE ทำอะไรกับ mandateตัดสินใจและอนุมัติเองช่วย board ร่าง/ปรับ แล้วเสนอให้ board เคาะ
CAE functional reporting ควรขึ้นกับใครCFO / senior managementboard (ถ้าไม่ใช่ = กระทบ independence)
สถานการณ์ reporting line / งบถูกกด / scope ถูกจำกัดปัญหา objectivity ของคนตรวจปัญหา independence ระดับ function
เพิ่งย้ายจากแผนกนั้นมาตรวจ / รับของขวัญ / self-reviewปัญหา independence โครงสร้างปัญหา objectivity ระดับบุคคล
self-review ร้ายแรง เยียวยาด้วย supervision ครั้งคราวsafeguard พอแล้วบางกรณีต้องเปลี่ยนคน / outsource
IA แนะนำ control แล้วติดตั้งให้เลยช่วยดี รับได้ห้าม own/implement — จะตรวจงานตัวเอง
ใครเป็นเจ้าของ risk และ controlinternal auditmanagement (IA แค่ประเมิน/assurance)
control ที่ดีทำอะไรกับความเสี่ยงeliminate จนเป็นศูนย์ลดให้อยู่ระดับที่ยอมรับได้
inherent vs residual riskสลับกันinherent = ก่อนใส่ control, residual = หลัง
ผู้ตรวจช่วยผู้จัดการออกแบบขั้นตอนใหม่เป็นงาน assuranceเป็น advisory (ผู้รับบริการขอ + ตกลง scope)
ระดับความเชื่อมั่นสูงสุดที่ audit ให้ได้absolute assurancereasonable (ไม่มี absolute)
ใครมีหน้าที่ป้องกัน/ตรวจจับ fraud หลักinternal auditmanagement (tone at top + control)
ใครนำการสืบสวน fraudinternal audit เป็นเจ้าของคดีforensic นำ · IA สนับสนุน
due professional care แปลว่าอะไรต้องเจอ fraud ทุกครั้งระมัดระวังแบบมืออาชีพ ไม่ใช่การันตี
มุมของ fraud triangle ที่องค์กรคุมได้จริงrationalization / pressureopportunity (ผ่าน control)

สิ่งที่จดสำหรับวันสอบ#

  • อำนาจไหลจากบนลงล่าง: board กำหนด+อนุมัติ mandate/charter · CAE ช่วยร่างและเสนอ · ไม่ใช่ CEO ไม่ใช่ CAE เคาะเอง
  • independence = ตำแหน่งของ function (วัดที่ reporting line ถึง board) · objectivity = ใจของคนตรวจ (self-review, familiarity, ของขวัญ) — โจทย์พูดถึง “ทั้งกอง” หรือ “คนเดียว”
  • management เป็นเจ้าของ risk/control เสมอ IA แค่ประเมิน/ให้ assurance/advise · เจอกริยา design/implement/own สำหรับ IA = ระวังหลอก
  • inherent = ก่อน control · residual = หลัง control · control ที่ดีแค่ลด ไม่เคย eliminate
  • assurance: ผู้ตรวจกำหนด scope เอง ให้ conclusion ต่อผู้อื่น · advisory: ผู้รับบริการขอ ตกลง scope ร่วม
  • สูงสุดคือ reasonable assurance ไม่มี absolute
  • fraud เป็นหน้าที่ร่วม แต่คนละมือ: management กัน+จับ · IA ประเมิน risk + สังเกต red flag ด้วย skepticism · forensic นำการสืบ
  • fraud triangle: pressure + opportunity + rationalization — มุมที่คุมได้จริงคือ opportunity ผ่าน control
  • ทุกข้อของ Part 1 อ่านกริยาและ “ใคร” ก่อนเลือกคำตอบ — คำตอบหลอกส่วนใหญ่คือของจริงที่วางผิดคนหรือผิดกริยา

ถ้าย่ามครบตามนี้แล้ว แปลว่าตราตั้งพร้อมมือจริงครับ

Part 1 ทั้งหมดตอบคำถามว่า “กองผู้ตรวจการนี้ เป็นใคร ยืนอยู่ตรงไหนของอาณาจักร มีสิทธิ์อะไร ถือคุณธรรมอะไร และห้ามข้ามเส้นไหน” — เป็นเรื่องของตัวตนและกติกาพื้นฐานทั้งนั้น ยังไม่ได้พูดถึงการลงมือทำภารกิจสักครั้ง

Part 2 คือจุดที่ผู้ตรวจการก้าวออกจากปราสาทไปสาขาจริง จดหมายมอบหมายภารกิจแรกจะมาถึงโต๊ะ แล้วคำถามจะเปลี่ยนจาก “เป็นใคร” เป็น “ทำภารกิจหนึ่งครั้งยังไงให้ครบขั้นตอน” — รับโจทย์ เข้าใจธุรกิจ ประเมินความเสี่ยงของงานนั้น วางแผน จัดทีม ลงพื้นที่เก็บหลักฐาน วิเคราะห์ บันทึกลงกระดาษทำการ แล้วสรุปผล ทุกเสาที่เพิ่งรวบมาในตอนนี้จะกลายเป็นพื้นที่ยืน เช่น objectivity จากเสาที่ 2 จะโผล่มาอีกตอนวางแผนว่ารับงานนี้ได้ไหม และเส้น “management เป็นเจ้าของ” จากเสาที่ 3 จะกำหนดว่าตอนรายงานผล เราสรุปได้แค่ไหน

และฝากไว้ก่อนข้าม Part — ครึ่งหนึ่งของน้ำหนักข้อสอบ Part 2 อยู่ที่ การวางแผนภารกิจ (engagement planning) เพราะฉะนั้นตอนหน้าจะกาง timeline ทั้งภารกิจให้เห็นภาพรวมก่อนครับว่ามีกี่ด่าน แต่ละด่านต่อกันยังไง

เก็บของครบ ตราตั้งพร้อมมือ เจอกันใหม่ที่ Part 2 เปิดด้วยการกางกายวิภาคของหนึ่งภารกิจตั้งแต่รับโจทย์จนปิดงาน ตอนถัดไป: กายวิภาคของหนึ่ง engagement ครับ

อ้างอิง: Gleim CIA Review (2026), Part 1 · IIA Global Internal Audit Standards (2024)