สารบัญ
เถ้าแก่โยนโจทย์ลงบนโต๊ะกองผู้ตรวจการสั้นๆ ว่า “ไปตรวจคลังสินค้าสาขาเหนือให้หน่อย” แล้วก็เดินออกไป
ฟังดูเหมือนสั่งง่ายๆ แต่พอนั่งลงจริง คำสั่งนี้กว้างจนจับต้นชนปลายไม่ถูก — ตรวจอะไรในคลัง ตรวจของหาย ตรวจระบบเบิกจ่าย ตรวจว่าของพอขายไหม ตรวจว่าคุมอุณหภูมิตามกฎหมายอาหารหรือเปล่า ตรวจทุกอย่างพร้อมกันในสามวันก็ไม่มีทางเสร็จ และถึงเสร็จก็ไม่รู้จะสรุปว่าอะไร
งานของผู้ตรวจก่อนจะลงมือ คือเอาโจทย์ก้อนกว้างๆ นี้มา เหลาให้คม ตกลงให้ชัดว่า engagement นี้จะบรรลุอะไร (objectives) จะแตะแค่ไหน (scope) จะเอาอะไรมาเป็นไม้บรรทัดตัดสิน (criteria) แล้วจะเดินด้วยวิธีไหน (approaches)
ตอนนี้ผมจะไล่ไปทีละก้อน ว่าจากคำสั่งลอยๆ มันกลายเป็นแผนที่ตรวจได้จริงยังไง แล้วมีของใหม่ในโลก the Standards ที่ยังพูดถึงกันน้อย แต่ข้อสอบเริ่มถามแล้ว รออยู่ท้ายบทด้วย
ตอนที่แล้วเรากางกายวิภาคของหนึ่ง engagement ทั้งเส้นครับ (ตอนที่ 16) ตั้งแต่จดหมายมอบหมายมาถึงโต๊ะ ผ่านสามองก์ใหญ่ — วางแผน เก็บและวิเคราะห์ คุมทีมและสื่อสาร — พร้อมปักจุดยืนว่าครึ่งหนึ่งของข้อสอบ Part 2 อยู่ที่ engagement planning ตอนนี้เราซูมเข้าองก์แรกสุด คือการเหลาโจทย์กว้างๆ ที่ได้รับมอบหมายให้กลายเป็นวัตถุประสงค์ที่คมพอจะลงมือได้จริง
โครงของบท
- objective คืออะไร ต่างจาก procedure ตรงไหน — กับดักเบอร์หนึ่งของบท
- อะไรคือตัวขับ objective กับ scope — risk ไม่ใช่ cost ไม่ใช่ benchmark
- ลำดับที่ห้ามสลับ: เข้าใจก่อน → objective → scope → work program
- scope เปลี่ยนกลางทางทำยังไง + scope limitation คืออะไร
- criteria: ไม้บรรทัดที่ดีหน้าตาเป็นยังไง ใครเป็นเจ้าของ เพียงพอแล้วต้องใช้
- สี่ approach: traditional / agile / integrated / remote จับคำใบ้ให้ตรง
- ของใหม่: Topical Requirements — baseline บังคับเมื่อความเสี่ยงตรงหัวข้อ
- ตารางกับดักรวม + สิ่งที่จดสำหรับวันสอบ
objective บอกว่า “จะบรรลุอะไร” ไม่ใช่ “จะทำยังไง”
เอาตรงๆ ถ้าจะจำอะไรจากต้นบทได้แค่อย่างเดียว ให้จำเส้นนี้ก่อน — engagement objective คือคำแถลงกว้างๆ ว่างานตรวจนี้จะบรรลุอะไร เป็นเป้าหมายว่าจะไปสรุปเรื่องอะไร ส่วน procedure คือขั้นตอนเฉพาะเจาะจงว่าจะทำยังไง เพื่อไปให้ถึงเป้านั้น
ตาม Standard 13.3 Engagement Objectives and Scope ผู้ตรวจต้องตั้งและบันทึก objective กับ scope ของทุก engagement ให้ชัด แล้ว objective ต้องสะท้อนจุดประสงค์ของงาน ระบุเป้าหมายเจาะจง รวมถึงเป้าที่กฎหมายหรือระเบียบบังคับด้วย (เลข Standard ไม่ต้องท่อง จำเจตนาของหลักพอ)
ลองคิดดูนะ ถ้าเถ้าแก่สั่งลูกน้องว่า “ทำให้ร้านนี้กำไรดีขึ้น” นั่นคือเป้าหมาย เป็นคำบอกว่าจะบรรลุอะไร ส่วน “ไปนับสต็อกทุกเช้า” “ไปเทียบใบเสร็จกับยอดขาย” นี่คือวิธีทำ เป็นขั้นตอนที่รับใช้เป้าหมายนั้นอีกที ทีนี้ถ้าเอาวิธีทำมาตั้งเป็นเป้าซะเอง มันก็กลายเป็นตรวจแบบไม่มีปลายทาง นับสต็อกไปเรื่อยๆ โดยไม่รู้ว่านับเพื่อสรุปอะไร
มุมเถ้าแก่/สภา: objective ที่คมทำให้เถ้าแก่ได้คำตอบที่เอาไปใช้ตัดสินใจได้จริง เช่นเป้าแบบ “ประเมินว่าของในคลังถูกป้องกันเพียงพอไหม” หรือ “ตัดสินว่าสต็อกพอรองรับยอดขายที่คาดไว้หรือเปล่า” พอจบงานเถ้าแก่ได้ข้อสรุปที่ตัดสินใจได้ทันที
กลับกัน ถ้า engagement ตั้งเป้าเป็นวิธีทำ (“ไปนับของ ไปคำนวณ inventory turnover”) จบมาแล้วได้แค่ตัวเลขกองหนึ่ง ที่ยังต้องมาตีความอีกว่าแปลว่าอะไร เสียเวลาเสียเงินโดยไม่ได้คำตอบ
มุมผู้ตรวจ (คนสอบ): ข้อสอบชอบหลอกแบบนี้มาก คือเอา procedure มาแต่งตัวเป็น objective ⚠️ กับดัก: ตัวเลือกที่ขึ้นต้นด้วย “observe the deposit” “recompute the reconciliation” “compute inventory turnover” “compare hotel charges to hotel bills” ทั้งหมดนี้คือ วิธีทำ (how) ไม่ใช่ objective ตัดทิ้งได้เลย ตัว objective จริงจะขึ้นด้วยคำกว้างแบบ “evaluate / determine whether … adequate / sufficient / correct” คือประเมิน/ตัดสินว่าอะไรบางอย่างเพียงพอหรือถูกต้องไหม
อีกกับดักคือ communication spec แต่งเป็น objective เช่น “ให้ใส่ข้อมูล stockout ลงในรายงานฉบับสุดท้าย” นั่นเป็นสเปกของรายงาน (report specification) ไม่ใช่ objective ตัดทิ้ง
แล้วกับดักที่เนียนกว่านั้นคือ objective ถูก แต่เป็นของ function ผิดตัว ⚠️ กับดัก: เช่นโจทย์ถามหา objective ของงานตรวจฝ่ายบุคคล (Personnel) แต่เอา “ตรวจการจ่ายค่าแรงรายชั่วโมงถูกต้อง” มาล่อ อันนั้นมันเรื่องของ payroll ไม่ใช่ Personnel objective ของ Personnel ที่ถูกคือ “ตัดสินว่ามีการตรวจสอบ reference ของผู้สมัครจริงไหม”
อีกมุมของกับดักนี้คือ cross-angle: ถ้าถามหา objective เรื่อง “ใช้พื้นที่/สิ่งอำนวยความสะดวกอย่างมีประสิทธิภาพ” ตัวเลือกเรื่อง cost หรือ market-rate หรือความพอใจ เป็นคนละมุมเลย objective ประสิทธิภาพจริงคือ “เทียบ capacity ที่ใช้จริงกับที่ต้องการ”
วิธีอ่านให้เร็ว ถามตัวเองข้อเดียว: ประโยคนี้บอกว่า งานจะบรรลุอะไร (evaluate/determine whether) หรือบอกว่า จะทำ action อะไร (observe/recompute/compute/compare) อย่างหลังคือ procedure ตัดทิ้ง
risk คือตัวขับ objective ไม่ใช่ cost ไม่ใช่ benchmark
พอจะตั้ง objective กับ scope คำถามต่อมาคือ เอาอะไรเป็นตัวชี้ว่าควรโฟกัสตรงไหน คำตอบสั้นๆ คือ risk ของกิจกรรมที่จะตรวจ และระดับ risk tolerance / risk appetite ขององค์กร (ปริมาณและชนิดของความเสี่ยงที่องค์กรยอมรับได้) — ไม่ใช่การประหยัดต้นทุน ไม่ใช่ราคาตลาด ไม่ใช่ benchmark อุตสาหกรรม
การประเมินความเสี่ยง (risk assessment) เป็นตัวระบุและจัดลำดับความเสี่ยง เพื่อกำหนดว่า objective กับ scope ควรพุ่งไปที่ไหน จากนั้นค่อยกำหนด criteria ทรัพยากร แล้วพัฒนา work program ตามมา
มุมเถ้าแก่/สภา: เถ้าแก่ที่ฉลาดอยากให้กองผู้ตรวจการไปยืนตรงจุดที่ “ถ้าพลาดแล้วเจ็บที่สุด” ไม่ใช่จุดที่ตรวจแล้วประหยัดค่าเดินทางได้มากที่สุด คลังที่มีของมีค่าเสี่ยงถูกขโมยสูง ก็ต้องสำคัญกว่าคลังของโหลราคาถูก ต่อให้ค่าตรวจเท่ากันก็เถอะ การวาง objective ตาม risk ก็คือเอาแรงตรวจที่มีจำกัด ไปวางตรงที่ปกป้องกระเป๋าเงินเถ้าแก่ได้จริง
มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: ข้อสอบจะโปรยเหยื่อมาล่อสามแบบ
- cost bait: เช่น “expected cost savings” “market lease rates” “แนวโน้มต้นทุน inventory ในอดีต” ทั้งหมดนี้ไม่ใช่ตัวขับ objective
- benchmark bait: เช่น “ค่าเฉลี่ย turnover ของอุตสาหกรรม” อันนั้นเป็นการวิเคราะห์เปรียบเทียบ ไม่ใช่เกณฑ์ความเสี่ยง
- standards/qualifications bait: เช่น “ยึดมาตรฐานการตรวจสอบอย่างเคร่งครัด” หรือ “คุณสมบัติของทีมที่เลือก” จำเป็นก็จริง แต่ไม่ได้จูน objective ให้ตรงความเสี่ยงและกลยุทธ์ขององค์กร
คำตอบที่ถูกคือตัวเลือกที่ผูก objective/scope เข้ากับ risk, risk tolerance, risk appetite, risk assessment หรือ “โอกาสเกิดการไม่ปฏิบัติตามกฎอย่างมีนัยสำคัญ (probability of significant noncompliance)” คำว่า probability of exposure แบบนี้แหละคือ flavor ที่ถูก เห็น cost/market/benchmark/qualification เมื่อไหร่ ให้ปัดเป็นแค่ input เสริม ไม่ใช่ตัวขับหลัก
ลำดับที่ห้ามสลับ: เข้าใจก่อน แล้วค่อย objective แล้วค่อย scope
อีกจุดที่ข้อสอบชอบเล่นคือ ลำดับของการวางแผน ลำดับนี้ตายตัว สลับไม่ได้
การวางแผนเริ่มจากทำความเข้าใจกิจกรรมที่จะตรวจและความเสี่ยงของมัน (preliminary survey / understand the activity) ก่อน → จากนั้นตั้ง objective → objective เป็นตัว นิยาม scope → แล้วจึงพัฒนา work program ตามมา จำง่ายๆ ว่า objective มาก่อน scope เสมอ และเป็น objective ที่กำหนดว่า scope จะกว้างแค่ไหน ไม่ใช่ทางกลับกัน
ส่วน scope คือการกำหนดโฟกัสและขอบเขตของงาน — ระบุ activities, locations, processes, systems, components, ช่วงเวลา (time period) และองค์ประกอบอื่นที่จะเข้าไปดู และต้องกว้างพอที่จะบรรลุ objective ได้ พอตั้ง objective เสร็จ ผู้ตรวจใช้ professional judgment กับปรึกษา engagement supervisor เท่าที่จำเป็น เพื่อกำหนด scope โดยพิจารณาแต่ละ objective แยกกัน ให้แน่ใจว่า scope ครอบคลุมพอจะทำแต่ละเป้าให้สำเร็จ
ตรงนี้มีอีกเรื่องที่ต้องตกลงตั้งแต่ต้น — engagement นี้เป็น assurance หรือ advisory เพราะความคาดหวังของ stakeholder กับข้อกำหนดของ the Standards มันต่างกันตามชนิดงาน งาน assurance (การให้ความเชื่อมั่น) อาจเป็นงาน compliance, operational/performance, financial หรือ technology ก็ได้ และให้ความเชื่อมั่นได้ระดับ limited หรือ reasonable
ส่วนงาน advisory ไม่ให้ assurance ลักษณะกับ scope ตกลงร่วมกับ stakeholder (เช่น ฝ่ายบริหาร) และ CAE ต้องอนุมัติ objective กับ scope รวมถึงการเปลี่ยนแปลงระหว่างทางด้วย
มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: ตัวหลอกยอดฮิตมีสามแบบ
- jump-ahead: ยังไม่ทันเข้าใจกิจกรรมเลย ตัวเลือกก็ให้ “พัฒนา work program ทันที” “ทำ root cause analysis เลย” “รีบสื่อสารถึง CAE / รายงาน board” พวกนี้เร็วเกินไปทั้งนั้น ต้องประเมินเบื้องต้นก่อน
- order inversion: อ้างว่า work program หรือ preliminary survey เป็นตัว “นิยาม” scope อันนี้ผิด เพราะ scope ถูกนิยามโดย objective
- scope-content padding: ยัด “วิธีแจกจ่ายรายงาน” “ข้อจำกัดงบ” “เครื่องมือเทคโนโลยี” หรือแม้แต่ “ตัว objective เอง” เข้าไปในคำแถลง scope ไม่มีอันไหนอยู่ใน scope เลย scope มีแค่ activities/locations/processes/systems/components/time period
แล้วมี cross-angle: ถ้าโจทย์ถามว่า “การตั้ง objective และ scope” ตรงกับหน้าที่ข้อไหนมากสุด → ตอบ “วางแผน engagement ให้ทำได้อย่างมีประสิทธิผล” ไม่ใช่เรื่อง proficiency, independence หรือการสื่อสารธรรมาภิบาล เทคนิคคือเรียงทุกขั้นตอนในหัวก่อน (เข้าใจ → objective → scope → program → escalate) แล้วเลือกขั้นที่ เร็วที่สุดที่ยังถูก ตามที่โจทย์ถาม
scope เปลี่ยนกลางทาง — ประเมินความเกี่ยว ปรับ แล้วบันทึก
โลกจริงมันไม่นิ่ง กำลังตรวจอยู่ดีๆ อาจมีคำขอใหม่จาก stakeholder โผล่มา ความเสี่ยงใหม่โผล่ หรือเจอข้อจำกัดในการเข้าถึงข้อมูล the Standards บอกว่าผู้ตรวจ ควรเปลี่ยน objective กับ scope เมื่องานตรวจชี้ว่าจำเป็น แต่มันมีวิธีที่ถูก
หลักคือ เจอการรบกวนอะไรก็ตาม ให้ ประเมินก่อนว่ามันเกี่ยวกับ objective ของงานแค่ไหน แล้วค่อย:
- คำขอ/ความเสี่ยง/กฎใหม่ที่เกี่ยวและใส่เข้ามาได้โดยไม่ทำให้เสียโฟกัสหรือทรัพยากร → ปรับ scope แล้วบันทึก
- เจอ ข้อจำกัดในการเข้าถึง ข้อมูล/บุคคล/สถานที่ → บันทึกเป็น scope limitation แล้วหาหลักฐานทางเลือก (alternative procedures) ไม่โยนงานให้คนอื่น ไม่แต่งข้อมูลขึ้นเอง
- เจอ control ที่ไม่ได้ผล/ความผิดปกติ → แจ้งฝ่ายบริหารและปรับ scope ไปโฟกัสจุดเสี่ยงสูงขึ้น
ตรงนี้ต้องแยกคำว่า scope limitation ให้ชัด — Standard 13.3 นิยามว่าเป็นข้อจำกัดด้านทรัพยากร หรือการถูกจำกัดการเข้าถึงบุคคล สถานที่ ข้อมูล จนทำให้ผู้ตรวจทำ work program ไม่ได้ ในงาน assurance ต้องคุยกับฝ่ายบริหารเพื่อหาทางออก ถ้าตกลงกันไม่ได้ CAE ต้อง escalate ขึ้น board ตามวิธีที่วางไว้ อ้อ แล้วคำขอของ stakeholder ที่ให้ใส่/ตัดของออกจาก scope หรือขอจำกัดความยาวงาน ก็ต้องมาดูด้วยว่าเข้าข่าย scope limitation หรือเปล่า
มุมเถ้าแก่/สภา: พอมีเรื่องแทรกกลางทาง เถ้าแก่ไม่ได้อยากได้ผู้ตรวจที่ดื้อเดินตามแผนเดิมแบบไม่มองซ้ายขวา และก็ไม่ได้อยากได้ผู้ตรวจที่ตื่นตูมขยาย scope ไปทั่วอาณาจักรจนงบบาน สิ่งที่เถ้าแก่อยากได้คือคนที่ประเมินเป็น ว่าเรื่องใหม่นี้มันเกี่ยวกับเป้าเดิมไหม เกี่ยวก็ปรับให้พอดี เป็นเรื่องใหญ่คนละเรื่องก็บันทึกไว้แล้วส่งต่อให้ถูกช่อง — คุมทั้งความครบและคุมทั้งงบไปพร้อมกัน
มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: ชุดตัวหลอกของบทนี้เยอะเป็นพิเศษ แยกเป็นสี่กลุ่ม:
- เมิน/เลื่อน: “disregard”, “ทำตามแผนเดิมแล้วจดไว้ตรวจรอบหน้า”, “รอ audit cycle หน้า”, “ดูแค่ข้อมูลล่าสุด ไม่สนของเก่า” (พวกนี้พลาดขั้น “ประเมินความเกี่ยว”)
- โยน/ยกงานทิ้ง: ส่งงานให้ตัวแทนฝ่ายกฎหมายหรือบุคคลที่สามทำแทน, “reconstruct ข้อมูลที่หายทั้งหมดก่อน”, “อาศัยความจำของพนักงาน” (ผู้ตรวจยังต้องถือความรับผิดชอบและต้องการหลักฐานที่ตรวจสอบได้)
- ขยายเกินเหตุ: “ขยายเป็น enterprise-wide”, “ครอบทุกการเปลี่ยนกฎ”, “ครอบ IT ทั้งหมด” (scope creep โดยไม่ประเมินความเกี่ยวและทรัพยากรก่อน)
- escalate ผิด: รีบรายงานข้อบกพร่องขึ้น board ก่อนบอกฝ่ายบริหาร, อ้างว่า “fieldwork เริ่มแล้ว scope แก้ไม่ได้อีก” (ผิดทั้งคู่ ต้องบอกฝ่ายบริหารก่อน และการเริ่ม fieldwork ไม่ได้แช่แข็ง scope)
และมีตัวแปรพิเศษ: ถ้าบังเอิญไปเห็นความเสี่ยงใหญ่ที่อยู่นอก scope (เช่นเจอภัยด้านสิ่งแวดล้อม) อย่าเมิน ให้ บันทึกและส่งต่อแผนกที่รับผิดชอบ แล้วติดตามผล สูตรกลาง: ประเมินความเกี่ยวกับ objective ก่อนเสมอ แล้วปรับ+บันทึก อย่าเมิน อย่าโยน อย่าขยายมั่ว
criteria — ไม้บรรทัดที่เอามาตัดสิน
พอมี objective กับ scope แล้ว ก็ยังตรวจไม่ได้อยู่ดีถ้าไม่มี criteria (เกณฑ์ประเมิน) — คือ “มาตรฐาน การวัด หรือความคาดหวังที่ใช้ในการประเมิน” มันตอบคำถามว่า “สิ่งที่ควรจะเป็น คืออะไร (What ought to be?)” แล้วเอาไปเทียบกับสภาพจริง (condition) ช่องว่างระหว่างสองอันนี้แหละคือที่มาของ finding
Standard 13.4 Evaluation Criteria บอกว่าผู้ตรวจต้องระบุ criteria ที่ เกี่ยวข้องที่สุด สำหรับประเมินแง่มุมของกิจกรรมที่นิยามไว้ใน objective กับ scope (สำหรับงาน advisory อาจไม่จำเป็นต้องมี criteria ขึ้นกับข้อตกลงกับ stakeholder) criteria ที่ดีต้อง แทนสภาพที่พึงประสงค์ เจาะจง และใช้ได้จริง สอดคล้องกับเป้าองค์กร และเทียบเคียงได้อย่างน่าเชื่อถือ แหล่งของ criteria ที่ดีมีทั้งภายใน (นโยบาย ขั้นตอน KPI เป้าหมาย) และภายนอก (กฎหมาย ระเบียบ ข้อผูกพันตามสัญญา) รวมถึงแนวปฏิบัติที่เป็นมาตรฐานของอุตสาหกรรมหรือวิชาชีพ
ไม้บรรทัด ไม่ใช่จำนวนคน ไม่ใช่จำนวนเหตุการณ์
⚠️ กับดัก: ข้อสอบชอบเอาของที่ ไม่ใช่ไม้บรรทัด มาแต่งเป็น criteria จำแยกสามพวก:
- พวก input: งบที่จ่ายไปกับเครื่องมือ จำนวนพนักงาน ฮาร์ดแวร์/ซอฟต์แวร์ที่ใช้ เงินที่ใช้อบรม — พวกนี้เป็นทรัพยากรที่ใส่เข้าไป ไม่ใช่มาตรฐานที่เอามาวัด
- พวก result/outcome: จำนวน security incident จำนวน defect ยอด incident ปีก่อน. พวกนี้เป็นผลลัพธ์ ไม่ใช่ไม้บรรทัด
- พวก perception: ความพอใจของพนักงานต่อการอบรม อันดับ reputation survey. พวกนี้เป็นความรู้สึก วัดเป็นมาตรฐานไม่ได้
ทั้งสามพวกไม่ใช่ criteria ตัดทิ้ง
แต่ระวังกับดักพลิกด้วย ⚠️ กับดัก: ถ้าตัวเลือกพูดถึง “การอบรมที่ทำเสร็จและมีเอกสารบันทึก” หรือ “การปฏิบัติตาม SLA” อันนี้กลับกลายเป็น criteria ที่ถูก เพราะมันระบุ มาตรฐานที่วัดได้ ไม่ใช่แค่นับดิบๆ
ถามของทุกตัวเลือกข้อเดียว: อันนี้เป็น มาตรฐานที่กิจกรรมถูกเอาไปวัดเทียบ หรือเปล่า ถ้าใช่ (ชี้ standard/benchmark/regulation/policy/SLA) = criteria จริง ถ้าเป็นการนับผล วัด input หรือจับความรู้สึก = ตัดทิ้ง อ้อ อีกตัวหลอกคือ “ความร่วมมือของฝ่ายบริหาร” นั่นเป็น เงื่อนไขที่ค้นพบ ไม่ใช่เกณฑ์ที่ใช้ประเมิน
criteria เป็นของฝ่ายบริหาร — ถ้าเพียงพอ ต้องใช้
จุดที่เป็นหัวใจของ subunit นี้คือ ความเป็นเจ้าของ criteria — เกณฑ์เป็นของ board และ senior management ผู้ตรวจต้องประเมินว่าฝ่ายบริหารตั้ง criteria ไว้เพียงพอ (adequate คำที่ข้อสอบ CIA ชอบใช้ ความหมายเดียวกับ sufficient) ไหม แล้วเดินตามผลนั้น:
- เพียงพอ → ผู้ตรวจต้องใช้เกณฑ์นั้น (และอาจแนะนำให้รับมาใช้เป็นทางการ/ปรับปรุงให้ดีขึ้นได้)
- ไม่เพียงพอ / คลุมเครือ / ไม่มี → หารือร่วมกับฝ่ายบริหาร (และ/หรือ board) เพื่อระบุหรือพัฒนา criteria ที่เหมาะสม — เสนอแนะได้ แต่ไม่ยัดเยียด ไม่ข้ามหัวไปที่ board เอง
มุมเถ้าแก่/สภา: ทำไมเกณฑ์ต้องเป็นของฝ่ายบริหาร ไม่ใช่ของผู้ตรวจ — เพราะฝ่ายบริหารเป็นคนต้องรับผลของการวัดนั้นในการบริหารงานประจำวัน ลองคิดดูนะ ถ้าผู้ตรวจโผล่มาตั้งไม้บรรทัดของตัวเองแล้วตัดสินด้วยไม้บรรทัดที่ฝ่ายบริหารไม่เคยรับรู้ ผลตรวจมันก็กลายเป็นเรื่องเถียงกันไม่จบ ฝ่ายบริหารก็บอกว่า “ผมไม่เคยตกลงจะวัดแบบนี้นี่” การที่เกณฑ์เป็นของฝ่ายบริหารและตกลงกันไว้ล่วงหน้า มันเลยทำให้ finding มีน้ำหนัก เอาไปสั่งการแก้ได้จริง
มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: ตัวหลอกฝั่งนี้คือความ “ขยันเกินบทบาท” — “revise / implement criteria ทันที” (ผู้ตรวจ override ความเป็นเจ้าของของฝ่ายบริหาร) “พัฒนาและใช้ criteria ของตัวเอง” (ฟังดู proactive แต่ข้ามการหารือกับฝ่ายบริหารที่บังคับไว้) “รายงานตรงไป board โดยไม่บอกฝ่ายบริหาร” หรือ “รอ external auditor” (escalate ผิดหรือเฉื่อยเกิน) และ “ถอนตัว / ไม่ทำต่อแล้วรายงานว่าไม่มีนโยบาย” (ทิ้งงานทั้งที่จริงมีเกณฑ์เพียงพออยู่แล้ว)
cross-angle: ถ้า มีเกณฑ์เพียงพออยู่แล้ว กับดักคือ over-react คำตอบที่ถูกคือ ใช้มัน (และแนะนำให้รับมาใช้เป็นทางการ) ไม่ใช่ไปพัฒนาอันใหม่ ตัวอย่างคลาสสิค: องค์กรไม่มีนโยบายของตัวเอง แต่มีนโยบายธนาคารที่เพียงพออยู่ → ใช้นโยบายธนาคารเป็น criteria แล้วแนะให้รับมาใช้ ไม่ใช่ถอนตัว
เกณฑ์อะไรใช้ได้บ้าง — มาตรฐานที่ดีทุกชนิดใช้ได้ ยกเว้นของอุตสาหกรรมอื่นที่ไม่เกี่ยว
พอถามว่าแหล่ง criteria ที่ดีมีอะไรบ้าง คำตอบคือกว้าง — SOP ภายใน มาตรฐานวิชาชีพ/สมาคม กฎหมายและระเบียบราชการ แนวปฏิบัติที่ดีของอุตสาหกรรม แนวปฏิบัติที่องค์กรใช้อยู่ ล้วนใช้ได้ทั้งนั้น
⚠️ กับดัก: ในโจทย์แบบ “แหล่งไหนไม่น่าเป็น criteria ที่สุด” ตัวที่แปลกแยกที่สุดคือ best practice ของอุตสาหกรรมอื่นที่ไม่เกี่ยวข้อง ส่วน benchmark, ต้นทุนในอดีต, ระเบียบราชการ ยังใช้ได้หมด
อีกกับดัก: “ใช้เกณฑ์ของฝ่ายบริหารไม่ว่าเพียงพอหรือไม่” อันนี้ผิด เพราะความเพียงพอมันยังเป็นด่านอยู่ แล้วถ้าเป็นโจทย์ที่ทุกตัวเลือก (SOP + มาตรฐานวิชาชีพ + แนวปฏิบัติที่ดีของอุตสาหกรรม) ล้วนใช้ได้ “ถูกทุกข้อ” ก็เป็นคำตอบจริงได้เหมือนกัน
อีกกรณีคือ overlapping mandate เช่นตรวจ compliance ของเงินทุนภาครัฐ (government grant) — ต้องยึด ทั้ง the Standards และมาตรฐานภาครัฐเพิ่มเติม ไม่ใช่อันใดอันหนึ่ง
สี่ approach — จับคำใบ้ในโจทย์ให้ตรงวิธี
พอรู้ว่าจะตรวจอะไร (objective/scope) วัดด้วยอะไร (criteria) ก็มาถึงคำถามว่าจะเดินด้วย วิธี (approach) ไหน มีสี่แบบ แต่ละแบบมีคำใบ้ประจำตัว
- traditional — วิธีดั้งเดิม เป็นระบบระเบียบ ยึด framework/มาตรฐานตายตัว ขั้นตอนคงที่ เอกสารครบถ้วน แต่รอบยาวและตารางแข็ง ปรับตามสภาพใหม่ได้ช้า
- agile — เน้นยืดหยุ่น ทำเป็นรอบสั้น (sprint) ไม่กี่สัปดาห์ต่อรอบ แต่ละรอบเจาะพื้นที่เสี่ยงสูงเฉพาะจุด ปรับ scope แบบ real-time ตามสิ่งที่เจอ ทีมข้ามสายงานร่วมมือกันแน่น
- integrated — รวมงานตรวจหลายชนิด (financial + compliance + operational) เข้าด้วยกัน ลดงานซ้ำซ้อนข้ามทีม ประเมินความเสี่ยงทั้งองค์กรพร้อมกัน ให้ coverage ครบถ้วน
- remote — ตรวจโดยผู้ตรวจกับ activity under review ไม่ได้อยู่ที่เดียวกัน ใช้เทคโนโลยีประชุมทางไกล เหมาะกับหน่วยงานกระจายตัวหลายพื้นที่ ลดค่าเดินทาง
มุมเถ้าแก่/สภา: การเลือก approach ให้ตรงสถานการณ์ก็คือการประหยัดเงินและเวลาให้เถ้าแก่ตรงๆ สาขาที่กระจายทั่วประเทศ ถ้าดันส่งทีมบินไปตรวจทุกที่ ค่าเดินทางบานเปล่าๆ ทั้งที่ remote ก็ทำได้ ธุรกิจที่กฎเปลี่ยนรายเดือน ถ้าใช้วิธีรอบยาวแบบ traditional กว่าจะตรวจเสร็จกฎก็เปลี่ยนไปแล้ว agile ที่ปรับ scope ได้ทันเลยคุ้มกว่า สรุปคือเลือกวิธีผิดก็จ่ายแพงโดยได้ผลน้อย
มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: ข้อสอบให้ จับ trigger word เดียวต่อหนึ่งวิธี อ่านโจทย์หา driver ที่เด่นที่สุด:
- คำว่า rapid / changing / dynamic / ระบบใหม่ / emerging risk → agile
- คำว่า ค่าเดินทาง / กระจายตัวทางภูมิศาสตร์ / หลายประเทศ / ลด physical presence → remote
- คำว่า รวมงานตรวจหลายชนิด / ลดงานซ้ำข้ามทีม → integrated
- ถ้ามีแต่ ขั้นตอนตายตัว/ความละเอียดถี่ถ้วน ไม่มีแรงกดดันให้เปลี่ยน → traditional (ซึ่งมักเป็นตัวหลอก)
กับดักที่พลาดกันบ่อย: agile ถูกเลือกมั่วทุกครั้งที่คำว่า “flexible/comprehensive” ฟังดูดี ทั้งที่ driver จริงคือค่าเดินทาง (ควรเป็น remote) หรือการรวมชนิดงาน (ควรเป็น integrated) และ remote ถูกยัดมาในฉากหลายประเทศ แต่ผิดเมื่อ driver จริงคือกฎที่หลากหลายหรือชนิดงานที่ซ้อนกัน หน้าที่ remote มีแค่ตัด physical presence ออกเท่านั้น
agile = ปรับ scope ทันทีที่เจอความเสี่ยงใหม่
เจาะ agile ลึกอีกนิด เพราะข้อสอบชอบถามแก่นของมัน ⚠️ กับดัก: ถ้าเป็นฉาก agile แล้วเจอความเสี่ยงสูงตัวใหม่กลางทาง คำตอบคือ ปรับ scope แบบ real-time เดี๋ยวนั้น ไม่ใช่ “จดให้ครบแล้วรอประชุมรอบหน้า” (ฟังดูมีวินัยแต่ขัดหลักความทันเวลาของ agile) ไม่ใช่ “ยึด sprint timeline เดิมอย่างเคร่งครัด” (วินัยจอมปลอมที่ปลูกไว้หลอก) ไม่ใช่ “ตรวจตามแผนเดิมให้จบก่อนแล้วค่อยเปิดงานตรวจรอบสอง” (ฟังดูละเอียดแต่เป็นวิถี traditional)
ลายเซ็นของ agile คือ iterative cycle (sprint), การร่วมมือ/มีส่วนร่วมของ stakeholder ที่เข้มขึ้น, ทีมมีอำนาจตัดสินใจในกรอบที่กำหนด, ปรับตัวเร็ว แล้วมี cross-angle: ถ้าถามว่าลักษณะไหน ไม่ใช่ agile → ตอบตัวที่เป็นตารางแข็ง/รอบยาว/เอกสารครบถ้วนละเอียด (พวกนี้เป็นเครื่องหมายของ traditional ที่แต่งตัวมาเป็น agile)
remote — ศัตรูตัวจริงคือความน่าเชื่อของหลักฐานดิจิทัล
เจาะ remote บ้าง ⚠️ กับดัก: ความท้าทายแกนของ remote auditing คือ การยืนยัน/ปกป้องความถูกต้องแท้จริงของหลักฐานดิจิทัล (evidence integrity) เพราะตรวจทางไกลมันเสี่ยงที่หลักฐานจะถูกแก้ไขหรือปลอมได้ง่ายกว่า ทางแก้ตรงจุดคือ cybersecurity protocol (กันการถูกดัดแปลง) หรือ advanced data analytics (ตรวจจับความผิดปกติ/ยืนยันของจริง)
ตัวหลอกคือ “เพิ่มความถี่ประชุมทางไกล” “สื่อสารมากขึ้น” (แก้เรื่อง engagement ไม่ใช่ evidence) “ทำเอกสารให้ครบขึ้น” (หนุน transparency แต่ไม่ยืนยันของแท้) “เพิ่มการอบรม” “ปรับปรุง backup” “ยืดเวลา” (รอบข้าง ไม่ใช่การยืนยันตรงจุด) และ “รายงาน board ทันที” หรือ “นัดไปตรวจที่ไซต์จริง” (ตื่นตูมเกินและขัดกับบริบท remote — ให้ยืนยันด้วย analytics ก่อน)
แล้วมี cross-angle เดียวที่พลิก: ถ้าปัญหาคือ การรักษา engagement/การเชื่อมต่อ (ไม่ใช่หลักฐาน) คำตอบค่อยเปลี่ยนเป็น structured check-in / หลายช่องทางสื่อสาร
ของใหม่ที่โลกยังพูดถึงน้อย: Topical Requirements
ตรงนี้คือส่วนที่ยังใหม่ในโลก the Standards และเริ่มโผล่ในข้อสอบแล้ว — Topical Requirements เป็นชั้นข้อกำหนดใน International Professional Practices Framework ที่อยู่คู่กับ the Standards มันตั้ง baseline ขั้นต่ำ สำหรับการตรวจหัวข้อความเสี่ยงเฉพาะที่ IIA ประกาศออกมา ตัวที่ มีผลบังคับแล้ว คือ Cybersecurity (ออกเมื่อ ก.พ. 2025 มีผลตั้งแต่ ก.พ. 2026) ส่วน Third-Party และ Organizational Behavior ออกแล้วและทยอยมีผลตามกติกา “12 เดือนหลังประกาศ” ภายในปี 2026 หัวข้ออื่นๆ (เช่น culture, business resiliency) ยังอยู่ระหว่างการพัฒนา
หลักคือ Topical Requirements เป็น ข้อบังคับสำหรับงาน assurance และ แนะนำสำหรับงาน advisory แต่ไม่ได้แปลว่าต้องเอามาแปะทุกงานนะ CAE ต้องใช้ แนวทางอิงความเสี่ยง (risk-based approach) ตัดสินว่าหัวข้อนั้นเข้าข่ายไหม
กติกาคือ: หัวข้อถูกระบุระหว่างการประเมินความเสี่ยง และ ความเสี่ยงนั้นเกินระดับ significant (เทียบกับ risk appetite ขององค์กร) → Topical Requirement นั้นถึงจะ apply เป็น baseline บังคับ และถึงจะ apply ก็ ไม่จำเป็นต้องเอาทุกข้อมาใช้ เอาเฉพาะข้อที่ตรงกับ scope และ objective ของงาน ที่ไม่ตรงตัดออกได้ แต่ต้อง บันทึกเหตุผลของการตัดออก ไว้เสมอ
Cybersecurity Topical Requirement วางกรอบตรวจสามด้าน — governance (มีกลยุทธ์/นโยบาย cybersecurity ที่ทบทวนเป็นรอบ บทบาทชัด board รับรู้), risk management (กระบวนการระบุ/วิเคราะห์/ลด/เฝ้าระวังภัยไซเบอร์ มี incident response ที่ทดสอบเป็นรอบ), และ controls (ควบคุมทั้งภายในและของ vendor เพื่อคุม confidentiality/integrity/availability, network control, endpoint security). ส่วน Third-Party Topical Requirement ก็วางสามด้านเดียวกันตลอด วงจรชีวิตของ third party คือ selecting, contracting, onboarding, monitoring, offboarding โดยองค์กรหลัก (primary organization) ยังคงรับผิดชอบความเสี่ยงเอง แม้จะจ้าง third party มาช่วยบรรลุเป้าก็ตาม
มุมเถ้าแก่/สภา: Topical Requirements ก็คือหลักประกันให้เถ้าแก่ว่า เวลากองผู้ตรวจการไปตรวจเรื่องภัยไซเบอร์หรือเรื่องคู่ค้าภายนอก มันจะ ไม่ตรวจแบบตื้นเกิน เพราะมีพื้นขั้นต่ำที่ต้องครอบให้ครบ ก่อนหน้านี้คุณภาพการตรวจเรื่องพวกนี้มันขึ้นกับว่าผู้ตรวจคนไหนถนัดแค่ไหน แต่ baseline นี้ทำให้ทุกงานตรวจในหัวข้อเสี่ยงสูงเดียวกันมันสม่ำเสมอ เถ้าแก่เลยวางใจได้ว่าเรื่องใหญ่จะไม่หลุด
มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: จุดที่ต้องระวังคือ ไม่ใช่ apply ทุก Topical Requirement โดยอัตโนมัติ ต้องอิงความเสี่ยงที่ระบุจริงเสมอ
ตัวอย่างที่ชอบออก: เจอความเสี่ยง third-party cybersecurity (third party มาให้บริการด้านไซเบอร์) → อาจ apply ทั้งสอง (Cybersecurity + Third-Party) แต่ถ้าความเสี่ยงเป็นแค่การทำผิดสัญญาของคู่ค้า โดยไม่แตะเรื่องไซเบอร์ → apply แค่ Third-Party อย่างเดียว เพื่อกัน scope creep แล้วถ้ากฎหมาย/framework ภายนอก (เช่น NIST, ISO 27001) เข้มกว่า Topical Requirement → ยึดตัวที่เข้มกว่าเป็นตัวนำ scope
ส่วนกรณีทรัพยากรไม่พอจน conform ไม่ได้ อันนั้นไม่ได้ปลดความรับผิดในการประเมินความเสี่ยงนะ CAE ต้องแจ้ง board และเปิดเผยเหตุผล (“conform or explain”)
ตารางกับดักรวม
| สถานการณ์ | คำตอบหลอก | คำตอบจริง |
|---|---|---|
| ”observe/recompute/compute/compare …” | เป็น objective | เป็น procedure (how) — objective คือ evaluate/determine whether |
| ”ใส่ stockout ลงในรายงานฉบับสุดท้าย” | objective | report specification ไม่ใช่ objective |
| objective ของงานตรวจ Personnel | ตรวจค่าแรงรายชั่วโมงถูกต้อง (payroll) | ตรวจว่ามีการเช็ค reference ผู้สมัคร |
| objective ใช้พื้นที่อย่างมีประสิทธิภาพ | cost / market rate / ความพอใจ | เทียบ capacity ที่ใช้จริง vs ที่ต้องการ |
| ตัวขับหลักของ objective/scope | cost savings / market rate / benchmark / staff qualification | risk / risk tolerance / risk appetite / risk assessment |
| อะไรนิยาม scope | work program / preliminary survey / scheduling | engagement objectives |
| ในคำแถลง scope มีอะไร | วิธีแจกจ่ายรายงาน / งบ / เครื่องมือ / objective | activities, locations, processes, systems, components, time period |
| ขั้นแรกเมื่อเจอความเสี่ยงใหม่ | ทำ work program / root cause / รายงาน board ทันที | ประเมินความเสี่ยงเบื้องต้นก่อน |
| ถูกจำกัดการเข้าถึงข้อมูลกลางทาง | โยนงานให้คนอื่น / reconstruct ทั้งหมด / อาศัยความจำ | บันทึกเป็น scope limitation + หาหลักฐานทางเลือก |
| stakeholder ขอเพิ่มเรื่องใหม่ | เมิน / รอรอบหน้า / ขยาย enterprise-wide | ประเมินความเกี่ยวกับ objective ก่อน แล้วปรับ+บันทึก |
| fieldwork เริ่มแล้ว | scope แก้ไม่ได้อีก | การเริ่ม fieldwork ไม่แช่แข็ง scope |
| งบ/จำนวนคน/incident count เป็น criteria ไหม | เป็น criteria | ไม่ใช่ — input/result/perception ไม่ใช่ไม้บรรทัด |
| อบรมที่ทำเสร็จ+มีเอกสาร / ยึด SLA | แค่การนับ ไม่ใช่ criteria | เป็น criteria จริง (มาตรฐานที่วัดได้) |
| criteria ของฝ่ายบริหารเพียงพอ | พัฒนา+ใช้เกณฑ์ของตัวเอง | ต้องใช้ของฝ่ายบริหาร (+แนะให้รับเป็นทางการ) |
| criteria ไม่เพียงพอ/คลุมเครือ | revise/implement เอง / รายงาน board ตรง / ถอนตัว | หารือร่วมกับฝ่ายบริหาร เสนอแนะ ไม่ยัดเยียด |
| องค์กรไม่มีนโยบาย แต่มีนโยบายธนาคารที่เพียงพอ | ถอนตัว/รายงานว่าไม่มีนโยบาย | ใช้นโยบายธนาคารเป็น criteria + แนะให้รับมาใช้ |
| แหล่ง criteria ที่ไม่น่าใช้สุด | ระเบียบราชการ / benchmark | best practice ของอุตสาหกรรมอื่นที่ไม่เกี่ยว |
| ตรวจ grant ภาครัฐยึดมาตรฐานไหน | เฉพาะ the Standards หรือเฉพาะภาครัฐ | ทั้ง the Standards และมาตรฐานภาครัฐเพิ่มเติม |
| ระบบใหม่ / กฎเปลี่ยนเร็ว / emerging risk | integrated / remote | agile |
| หน่วยงานกระจายหลายพื้นที่ ลดค่าเดินทาง | agile | remote |
| รวม financial + compliance + operational | agile / remote | integrated |
| agile เจอความเสี่ยงสูงกลางทาง | จดไว้รอรอบหน้า / ยึด timeline เดิม | ปรับ scope แบบ real-time เดี๋ยวนั้น |
| ลักษณะไหน ไม่ใช่ agile | iterative sprint | ตารางแข็ง/รอบยาว/เอกสารครบถ้วน (=traditional) |
| ความท้าทายแกนของ remote | เพิ่มประชุม / ทำเอกสารเพิ่ม / อบรมเพิ่ม | ยืนยัน evidence integrity ด้วย cybersecurity/analytics |
| Topical Requirement apply เมื่อไหร่ | ทุกงานโดยอัตโนมัติ | เมื่อความเสี่ยงถูกระบุ + เกิน significant threshold |
| third party ทำผิดสัญญาล้วน ไม่แตะไซเบอร์ | apply ทั้ง Cybersecurity + Third-Party | apply แค่ Third-Party |
| กฎภายนอก (NIST) เข้มกว่า Topical Requirement | ยึด Topical Requirement | ยึดตัวที่เข้มกว่าเป็นตัวนำ scope |
สิ่งที่จดสำหรับวันสอบ
- objective = จะบรรลุอะไร (evaluate/determine whether); observe/recompute/compute/compare = procedure ตัดทิ้ง; “ใส่ในรายงาน” = report spec
- objective ต้องตรง function ที่โจทย์ระบุ — reference check เป็นของ Personnel, ค่าแรงรายชั่วโมงเป็นของ payroll
- ตัวขับ objective/scope = risk / risk tolerance / risk appetite / risk assessment — ไม่ใช่ cost, benchmark, staff qualification
- ลำดับตายตัว: เข้าใจก่อน → objective → objective นิยาม scope → work program; อย่า jump-ahead ไป program/root cause/board
- scope มีแค่ activities, locations, processes, systems, components, time period — ไม่มี objective, งบ, เครื่องมือ, วิธีแจกรายงาน
- เจอเรื่องแทรกกลางทาง: ประเมินความเกี่ยวกับ objective ก่อน แล้วปรับ+บันทึก; อย่าเมิน อย่าโยน อย่าขยาย enterprise-wide; fieldwork เริ่มแล้วไม่แช่แข็ง scope
- scope limitation → บันทึก + หาหลักฐานทางเลือก; ตกลงกับฝ่ายบริหารไม่ได้ CAE escalate ขึ้น board
- criteria = มาตรฐานที่เอามาวัด; input(งบ/คน) / result(incident count) / perception(satisfaction) ไม่ใช่ criteria; แต่ “ทำเสร็จ+มีเอกสาร” และ “ยึด SLA” ใช่
- criteria เป็นของ ฝ่ายบริหาร; เพียงพอ→ต้องใช้; ไม่เพียงพอ→หารือร่วม ไม่แก้เอง ไม่ข้ามหัวไป board
- แหล่ง criteria ที่ดี = SOP/มาตรฐานวิชาชีพ/กฎหมาย/แนวปฏิบัติในอุตสาหกรรมเดียวกัน; แปลกแยกสุด = best practice ของอุตสาหกรรมอื่น; grant ภาครัฐ = ทั้ง the Standards + มาตรฐานภาครัฐ
- สี่ approach จับคำเดียว: rapid/emerging=agile, ค่าเดินทาง/หลายพื้นที่=remote, รวมชนิดงาน=integrated, ขั้นตอนตายตัว=traditional
- agile เจอความเสี่ยงใหม่ = ปรับ scope real-time; ลักษณะที่ไม่ใช่ agile = ตารางแข็ง/รอบยาว/เอกสารถี่ถ้วน
- remote ศัตรูตัวจริง = evidence integrity → cybersecurity protocol / data analytics ไม่ใช่ประชุมเพิ่ม
- Topical Requirements = baseline ขั้นต่ำ บังคับสำหรับ assurance เมื่อความเสี่ยงถูกระบุ+เกิน significant; apply แค่ข้อที่ตรง scope, ตัดออกต้องบันทึกเหตุผล; หลายหัวข้อพร้อมกันเฉพาะเมื่อความเสี่ยงจริงต้องการ; กฎภายนอกเข้มกว่า→ยึดตัวเข้มกว่า
- Standard number ต่างๆ จำ เจตนา ของหลักพอ ไม่ต้องท่องเลข
แต่ก่อนจะตั้ง objective ให้แม่นได้ ต้องรู้จักธุรกิจที่เราจะไปตรวจก่อนครับ ตอนหน้าเลยถอยไปที่รากของกิจการ — business model, ชนิดของ process, Porter’s Five Forces กับกลยุทธ์ที่ผู้ตรวจต้องอ่านออกก่อนลงพื้นที่ ตอนถัดไป: รู้จักธุรกิจก่อนลงพื้นที่
อ้างอิง: Gleim CIA Review (2026), Part 2 · IIA Global Internal Audit Standards (2024)