1082 คำ
5 นาที
CIA Series ตอนที่ 19 : P2 - COSO Internal Control ฉบับใช้งานจริง
สารบัญ

ลองคิดดูนะครับ ถ้าผู้ตรวจสองคนได้รับมอบหมายให้เข้าไปดูกระบวนการเบิกจ่ายเงินสดของสาขาเดียวกัน คนแรกเดินเข้าไปดูสะเปะสะปะ เจออะไรน่าสงสัยก็จดๆ ไป ส่วนอีกคนก่อนลงพื้นที่ หยิบกระดาษแผ่นเดิมที่พกติดตัวทุกภารกิจออกมากางก่อน แผ่นนั้นมีหัวข้อห้าช่องเรียงกันเป๊ะ แล้วก็ไล่ดูทีละช่อง สาขานี้ตั้งบรรยากาศเรื่องความซื่อตรงไว้ยังไง ประเมินความเสี่ยงเรื่องอะไรบ้าง มีขั้นตอนคุมจริงตรงไหน ข้อมูลไหลถึงคนที่ต้องรู้หรือเปล่า แล้วมีใครคอยเช็กว่าของพวกนี้ยัง ทำงานอยู่ ไหม พอตรวจเสร็จ คนที่สองเขียนรายงานได้เป็นระบบกว่าเยอะ ทั้งที่ใช้เวลาเท่ากัน กระดาษห้าช่องแผ่นนั้นแหละครับ คือสิ่งที่วันนี้เราจะมากางกัน

ตอนที่แล้วเราถอยไปดูรากธุรกิจกันครับ (ตอนที่ 18) business model กับสามชนิดของ process, outsourcing ที่ย้ายงานแต่ไม่ย้ายความรับผิดชอบ, Porter’s Five Forces กับทิศของกำแพงเข้า-ออก และลำดับ mission→SWOT→strategy — ทั้งหมดเพื่ออ่านความเสี่ยงของกิจการให้ออกก่อนลงพื้นที่ ตอนนี้เลื่อนเข้ามาอีกชั้น พอเข้าใจธุรกิจแล้ว ต้องดูต่อว่าองค์กรเขาวางระบบคุมความเสี่ยงไว้ยังไง แล้ว COSO ก็คือแผนที่มาตรฐานที่ข้อสอบใช้ถาม

โครงของบทตอนนี้#

  • COSO Internal Control คืออะไร มาจากไหน และทำไมผู้ตรวจต้องพกกรอบนี้ลงพื้นที่ทุกครั้ง
  • ห้าองค์ประกอบ (control environment, risk assessment, control activities, information and communication, monitoring) แบบเข้าใจหน้าที่ ไม่ต้องท่องเลข
  • วิธีจับ “คำกริยา” ในโจทย์ให้ตรงองค์ประกอบ โดยเฉพาะเส้นแบ่ง control activities กับ monitoring ที่ข้อสอบชอบเอามาปน
  • preventive กับ detective control ต่างกันตรง “ก่อน” หรือ “หลัง”
  • ทำไม internal control ให้ได้แค่ reasonable assurance ไม่มีวัน absolute — และ tone at the top ที่ COSO IC กับ COSO ERM ชอบสลับ

กรอบที่ผู้ตรวจพกลงพื้นที่ทุกครั้ง#

เริ่มจากตัวย่อก่อน COSO ย่อมาจาก The Committee of Sponsoring Organizations of the Treadway Commission เป็นการรวมตัวของกลุ่มองค์กรภาคเอกชนหลายราย และหนึ่งในนั้นคือ The IIA เจ้าของมาตรฐานที่เราเรียนกันมาทั้งซีรีส์นี่แหละ เขาร่วมกันวางแนวคิดเรื่อง internal control, การบริหารความเสี่ยง, การกำกับดูแล และการป้องปรามการทุจริต ที่มาของมันคือยุคที่มีเรื่องอื้อฉาวทางการเงินเยอะ จนต้องหาทางว่าทำยังไงถึงจะกันการรายงานการเงินแบบหลอกลวงได้ case คลาสสิคของวงการอย่าง Enron ก็อยู่ในบริบทแบบนี้

แล้ว internal control (การควบคุมภายใน) ในนิยาม COSO คืออะไร เอาสั้นๆ จำเจตนาพอ ไม่ต้องท่องคำต่อคำ มันคือ กระบวนการ ที่ทำโดยสภา (board), ฝ่ายบริหาร, และพนักงานทุกคน ออกแบบมาเพื่อให้ reasonable assurance (ความเชื่อมั่นในระดับพอสมควร) ว่าองค์กรจะบรรลุวัตถุประสงค์ในสามด้าน คือ operations (ให้งานมีประสิทธิภาพและประสิทธิผล), reporting (ให้รายงานทั้งภายในภายนอกเชื่อถือได้), และ compliance (ให้ทำตามกฎหมายและระเบียบ)

คำที่ต้องขีดเส้นใต้ตั้งแต่บรรทัดแรกคือ reasonable ไม่ใช่ absolute control ดีแค่ไหนก็ไม่มีวันรับประกันว่าจะไม่มีข้อผิดพลาดหรือการทุจริตเลย มันแค่ลดโอกาสให้เหลือน้อยพอที่รับได้ เดี๋ยวเรื่องนี้จะกลับมาเป็นกับดักใหญ่ท้ายตอน

สำหรับผู้ตรวจอย่างเรา กรอบนี้ไม่ใช่ทฤษฎีลอยๆ มันคือ แบบพิมพ์เขียว ที่ใช้ทั้งออกแบบ ทั้งประเมิน control ของ activity under review (เรื่อง/หน่วยงานที่ถูกตรวจ) ที่เรารับมาตรวจ พอลงพื้นที่ ก็เอาห้าองค์ประกอบนี้เป็นแกนไล่ดูว่าที่ตรงหน้ามีครบไหม แต่ละอันออกแบบมาดีไหม และที่สำคัญที่สุด มัน ทำงานจริง หรือเปล่า

  • มุมเถ้าแก่/สภา: เถ้าแก่ไม่ได้อยากได้ระบบควบคุมที่สวยหรูบนกระดาษ เขาอยากนอนหลับได้ว่าเงินไม่รั่ว รายงานที่เอามาตัดสินใจไม่โกหก และบริษัทไม่โดนปรับเพราะทำผิดกฎ กรอบ COSO คือภาษากลางที่ทำให้เขาสั่งการได้ว่า “ตรงไหนยังอ่อน” โดยไม่ต้องเดา
  • มุมผู้ตรวจ (คนสอบ): เจอโจทย์ที่พูดถึง “องค์ประกอบของ internal control” ให้รู้ทันทีว่ากำลังอยู่ในโลก COSO และคำแรกที่ต้องระวังคือ reasonable ถ้าตัวเลือกไหนพูดว่า “รับประกัน” หรือ “absolute” ให้เอ๊ะไว้ก่อน

ห้าองค์ประกอบ — จำหน้าที่ อย่าจำเลข#

Gleim มีตัวช่วยจำน่ารักว่า “Controls stop CRIME” C คือ Control activities, R คือ Risk assessment, I คือ Information and communication, M คือ Monitoring, E คือ Control environment แต่ตัวช่วยจำนี้ช่วยแค่ให้จำ ครบห้าตัว นะครับ ไม่ได้ช่วยให้แยกออกว่าตัวไหนทำอะไร ซึ่งการแยกออกนั่นแหละคือสิ่งที่ข้อสอบจะเล่นงานเรา เดี๋ยวไล่ทีละตัวแบบจับที่ “หน้าที่” กัน

Control environment (สภาพแวดล้อมการควบคุม) คือ ฐานราก ของทุกอย่าง มันคือมาตรฐาน โครงสร้าง และท่าทีที่ทำให้คนทั้งองค์กรจริงจังกับการควบคุมแค่ไหน สภากับฝ่ายบริหารตั้ง tone at the top (น้ำเสียงจากยอด) ผ่านการแสดงออกว่าให้ค่ากับความซื่อตรงและจริยธรรมจริง ลองคิดดูนะ องค์กรที่ผู้บริหารสูงสุดทำตัวเป็นตัวอย่าง กับองค์กรที่แค่แปะโปสเตอร์ “เราต่อต้านทุจริต” ไว้ที่ผนัง สองที่นี้ฐานรากต่างกันลิบ ถ้าฐานรากนี้ไม่แน่น องค์ประกอบอีกสี่ตัวจะดีแค่ไหนก็เอาไม่อยู่

Risk assessment (การประเมินความเสี่ยง) คือการ ระบุและวิเคราะห์ ความเสี่ยงที่อาจขวางไม่ให้บรรลุวัตถุประสงค์ เช่น ร้านค้าปลีกมองว่าเงินสดหายเป็นความเสี่ยงใหญ่ ก็วิเคราะห์ผลกระทบแล้วหาทางป้องกัน จุดที่ข้อสอบชอบเล่นคือ องค์ประกอบนี้ยังรวมถึงการ รับมือกับความเปลี่ยนแปลงใหญ่ๆ ด้วย พวกการควบรวมกิจการ การเปลี่ยนตัวผู้บริหารระดับสูง การขยายไปต่างประเทศ ของพวกนี้สร้างความเสี่ยงชุดใหม่ที่ต้องประเมินใหม่ ไม่ใช่เรื่องของ monitoring

Control activities (กิจกรรมการควบคุม) คือ นโยบายและวิธีปฏิบัติ ที่ลงมือทำเพื่อลดความเสี่ยงตามคำสั่งของฝ่ายบริหาร พวกนี้คือการ ลงมือทำจริง — อนุมัติ (authorization), ตรวจทาน (verification), กระทบยอด (reconciliation), ทบทวนผลงาน, และหัวใจสำคัญคือ segregation of duties (การแบ่งแยกหน้าที่ — ไม่ให้คนเดียวทั้งทำและปกปิดได้) ถ้าแบ่งแยกเต็มรูปไม่ไหวเพราะคนน้อย ก็ต้องมี compensating control อย่างให้เถ้าแก่เข้ามาดูเองมากขึ้น

Information and communication (ข้อมูลและการสื่อสาร) คือการทำให้ข้อมูลที่เกี่ยวข้องไหลไปถึงคนที่ต้องใช้ เพื่อให้ทำตามหรือลงมือ control activities ได้ ฝ่ายบริหารสื่อสารเพื่อรักษาความรับผิดชอบและวัดผลงาน ถ้าข้อมูลไปไม่ถึงคนที่ต้องรู้ ต่อให้มีขั้นตอนคุมดีแค่ไหนก็ไม่มีใครทำ

Monitoring (การติดตามประเมินผล) คือการ ประเมินว่าองค์ประกอบทั้งห้ายังอยู่ครบและทำงานตามที่ควรไหม จุดสำคัญที่ต้องเน้นคือคำว่า “ยังทำงานอยู่ไหมเมื่อเวลาผ่านไป” ตัวอย่างเช่นกองผู้ตรวจเข้าไปสุ่มดูเป็นระยะว่าพนักงานยังทำตามระเบียบอยู่หรือเปล่า สังเกตนะครับว่า monitoring ไม่ได้ ทำ control เอง แต่ ตัดสิน ว่า control ที่คนอื่นทำนั้นยังใช้ได้อยู่ไหม

องค์ประกอบทั้งห้าถูกระบุแยกกัน แต่ทำงานร่วมกัน control environment ให้ฐานและโครงสร้าง นำไปสู่การประเมินความเสี่ยงที่หนักแน่น ออกมาเป็น control activities ที่ต้องบันทึกและสื่อสาร แล้ว monitoring กับ internal audit คอยเช็กว่าคนทำตามไหม เจออะไรผิดก็ป้อนกลับไปที่ฐานรากให้สภาและผู้บริหารตอกย้ำ tone at the top ใหม่ วนแบบนี้

  • มุมเถ้าแก่/สภา: ห้าองค์ประกอบนี้ทำให้เถ้าแก่ชี้นิ้วได้ตรงจุดว่าปัญหาอยู่ตรงไหน ถ้าคนโกงเพราะ “ไม่มีใครกล้าท้วงเจ้านาย” นั่นปัญหาฐานราก ไม่ใช่ปัญหาขั้นตอน จ่ายเงินซื้อระบบตรวจสอบแพงแค่ไหนก็ไม่แก้ถ้าฐานรากพัง
  • มุมผู้ตรวจ (คนสอบ): อย่าท่องว่า “องค์ประกอบที่ 1, 2, 3” เพราะข้อสอบไม่ถามเลข มันถามด้วย สถานการณ์ แล้วให้เราจับว่าเข้าองค์ประกอบไหน เพราะฉะนั้นต้องจำ หน้าที่ ของแต่ละตัวให้ขึ้นใจ

⚠️ กับดัก: ข้อสอบชอบเอา control environment มาเป็น “คำตอบปลอดภัย” เพราะคำว่า “ฐานราก/tone” ฟังดูถูกได้เสมอ แต่บ่อยครั้งคำตอบจริงคือองค์ประกอบที่เฉพาะเจาะจงกว่า เช่นถ้าโจทย์บอกว่ามีข้อผิดพลาดในการประมวลผลเยอะมาก คำตอบไม่ใช่ “ปรับ tone at the top” แต่คือ control activities ที่ต้องแก้ เดี๋ยวนี้ เจอคำที่กว้างและปลอดภัยเกินไป ให้สงสัยไว้ก่อน

จับคำกริยาให้ตรงองค์ประกอบ — เส้นแบ่งที่ข้อสอบชอบเล่น#

ทีนี้มาถึงเทคนิคที่ผมว่ามีค่าที่สุดในตอนนี้ เวลาเจอโจทย์ COSO ที่ให้สถานการณ์มาแล้วถามว่า “เข้าองค์ประกอบไหน” อย่าไปจับ อารมณ์ ของประโยค ให้จับ คำกริยา ที่เป็นแกนแทน เพราะคำกริยามันบอกตรงๆ ว่ากำลังทำอะไรอยู่

ไล่แบบนี้ครับ ถ้าประโยคพูดถึง ท่าที จริยธรรม ความซื่อตรง การวางมาตรฐานความประพฤติ การจัดโครงสร้าง → control environment ถ้าพูดถึง ระบุหรือวิเคราะห์ความเสี่ยง หรือรับมือกับความเปลี่ยนแปลงใหญ่ → risk assessment ถ้าพูดถึง ลงมือทำตามคำสั่ง — อนุมัติ กระทบยอด ตรวจทาน ทบทวน log แบ่งแยกหน้าที่ → control activities และถ้าพูดถึง ประเมินหรือทดสอบว่า control ยังทำงานได้ดีอยู่ไหมเมื่อเวลาผ่านไป → monitoring

จุดที่พลาดกันเยอะสุดคือเส้นแบ่งระหว่าง control activities กับ monitoring เพราะสองอันนี้ดูเผินๆ เหมือน “การตรวจ” เหมือนกัน กฎที่ผมยึดคือ ทำ control เอง = control activities แต่ ตัดสิน ว่า control ทำงานไหม = monitoring ลองดูตัวอย่างที่ข้อสอบชอบวางคู่กัน สมมติไม่ได้เข้าไปดู access log จนมีคนแอบเข้าถึงระบบโดยไม่ได้รับอนุญาตนานๆ ตัวการ เข้าไปดู log นี้คือการลงมือทำ control จริงๆ เป็น control activities ไม่ใช่ monitoring แต่ถ้าโจทย์ถามถึง “การเช็กภาพรวมว่าองค์ประกอบทั้งหลายยังอยู่ครบและทำงานได้ตลอดเวลา” นั่นแหละคือ monitoring

  • มุมเถ้าแก่/สภา: เถ้าแก่สนใจว่าสองงานนี้ต้องมี คนละคน ทำ — คนที่กระทบยอดเงินทุกวัน (control activity) ไม่ควรเป็นคนเดียวกับคนที่มาสรุปว่าระบบควบคุมทั้งหมดยังโอเคไหม (monitoring) เพราะถ้าเป็นคนเดียวกัน มันก็เหมือนให้คนตรวจข้อสอบตัวเอง
  • มุมผู้ตรวจ (คนสอบ): เจอคำว่า reconcile, verify, approve, review log, segregate → เดาไปทาง control activities ก่อน เจอคำว่า assess/test whether controls keep working over time, ongoing verification that components are present → เดาไปทาง monitoring และถ้าโจทย์พูดถึงรับมือ acquisition หรือเปลี่ยนตัวผู้บริหาร → นั่น risk assessment ไม่ใช่ monitoring

⚠️ กับดัก: ข้อสอบชอบเอาสถานการณ์ “มีข้อผิดพลาดเยอะ ต้องแก้” มาวางแล้วล่อให้ตอบ risk assessment เพราะรู้สึกว่า “ก็ต้องประเมินความเสี่ยงก่อนสิ” แต่ถ้าปัญหามันเกิดขึ้นแล้วและต้องแก้ เดี๋ยวนี้ คำตอบคือ control activities การแค่ระบุความเสี่ยงไม่ได้หยุดข้อผิดพลาดที่กำลังเกิด อีกกับดักคือ “การตรวจว่า control ในอดีตกันความเสียหายได้จริงไหม” ฟังดูเหมือนการทำ control แต่จริงๆ เป็นการ ตัดสินย้อนหลัง จึงเป็น monitoring

Preventive กับ Detective — กันก่อน หรือ จับทีหลัง#

ยังอยู่ในโซน control activities แต่แตกออกมาอีกเส้นที่ข้อสอบชอบเล่น คือการแบ่ง control เป็น preventive กับ detective เส้นแบ่งนี้อยู่ที่ เวลา ล้วนๆ

Preventive control (การควบคุมเชิงป้องกัน) ทำงาน ก่อน เหตุร้ายจะเกิด มันบล็อกไม่ให้เกิดตั้งแต่ต้น เช่น การอนุมัติก่อนจ่าย การตั้งวงเงินอนุมัติ การแบ่งแยกหน้าที่ การจำกัดสิทธิ์เข้าถึง การต้องเซ็นสองคน หรือบังคับให้จ่ายผ่าน EFT (electronic funds transfer — การโอนเงินอิเล็กทรอนิกส์) แทนเช็ค พวกนี้ทั้งหมด กันไว้ก่อน

Detective control (การควบคุมเชิงจับผิด) ทำงาน หลัง เหตุเกิดแล้ว โดยการ เทียบ กับอะไรบางอย่างที่เป็นอิสระ เช่น การกระทบยอดบัญชีธนาคาร (bank reconciliation) หรือการเทียบผลจริงกับงบประมาณ/เกณฑ์มาตรฐาน มันไม่ได้กันไม่ให้เกิด แต่ทำให้ เห็น ว่าเกิดอะไรผิดขึ้นไปแล้ว

ตัวช่วยที่ผมใช้คือ ถ้าคำกริยาคือ อนุมัติ แบ่งแยก จำกัดสิทธิ์ → preventive ถ้าคำกริยาคือ กระทบยอด เทียบกับงบ → detective

  • มุมเถ้าแก่/สภา: เถ้าแก่อยากได้ทั้งสองอย่างผสมกัน — preventive เยอะเกินก็ทำงานช้าติดขัดไปหมด detective อย่างเดียวก็เท่ากับปล่อยให้เสียหายก่อนแล้วค่อยรู้ ความสมดุลคือกันเรื่องใหญ่ไว้ก่อน แล้วมีตาข่ายจับสิ่งที่หลุดรอด
  • มุมผู้ตรวจ (คนสอบ): โจทย์ชอบถามว่า “กระบวนการนี้มี preventive control เยอะแล้ว ให้เพิ่ม detective control” — คำตอบต้องเป็นการเทียบ/กระทบยอดย้อนหลัง ไม่ใช่ไปเพิ่มการอนุมัติหรือการแบ่งแยกหน้าที่อีก เพราะนั่นเป็น preventive ซ้ำ

⚠️ กับดัก: ข้อสอบชอบเอา control ที่ รู้สึกเหมือนจับผิด มาหลอกว่าเป็น detective ทั้งที่จริงเป็น preventive เช่นการตรวจทาน (verification) หรือการจำกัดการเข้าถึงเช็คเปล่า พวกนี้ฟังดูเหมือน “จับ” แต่จริงๆ กันไว้ก่อน จึงเป็น preventive ตัวชี้ขาดของ detective คือมันต้อง เทียบกับเกณฑ์อิสระหลังเหตุเกิด เท่านั้น

Reasonable ไม่ใช่ Absolute — และ tone at the top ที่ชอบสลับ#

กลับมาที่คำที่ขีดเส้นใต้ไว้ตั้งแต่ต้น internal control ให้ได้แค่ reasonable assurance ไม่มีวัน absolute เพราะมันมีข้อจำกัดในตัว (inherent limitations) ที่แก้ไม่ได้ ได้แก่ การสมรู้ร่วมคิด (collusion), การที่ผู้บริหารสั่งข้ามระบบเอง (management override), ดุลยพินิจของมนุษย์ที่ผิดพลาดได้ (faulty human judgment), และเรื่องที่ต้นทุนของ control ต้องไม่เกินประโยชน์ที่ได้ (cost exceeding benefit)

จุดที่ต้องจำให้แม่นคือ control ออกแบบมาจับ คนที่ทำคนเดียว ได้ดีที่สุด แต่เอาไม่อยู่กับ กลุ่มที่สมรู้ร่วมคิด หรือ ผู้บริหารที่สั่งข้ามระบบ เพราะการแบ่งแยกหน้าที่ต่อให้ดีแค่ไหน ถ้าสองคนที่ถูกแบ่งหน้าที่กันจับมือกันโกง มันก็พังทันที

ระวังอีกอย่าง incompatible duties หรือการที่คนเดียวถือหน้าที่ที่ขัดกัน อันนี้ ไม่ใช่ ข้อจำกัดในตัวนะ มันคือช่องโหว่ของ control activity (การแบ่งแยกหน้าที่ที่ทำได้ไม่ดี) ซึ่งแก้ได้ ต่างจาก collusion ที่ต่อให้ออกแบบดีแค่ไหนก็มีช่องอยู่ดี

ส่วนเรื่อง tone at the top เชื่อมกลับไปที่ control environment ตรงนี้มีกับดักซ้อนอยู่ วิธีส่งต่อวัฒนธรรมจริยธรรมที่ ได้ผลที่สุด คือการที่ผู้บริหารสูงสุด ทำให้ดูเป็นตัวอย่าง ด้วยการกระทำที่มองเห็นได้ ไม่ใช่การเขียนนโยบาย ออกจดหมายข่าว ระบุระดับความสามารถ หรือไปเพิ่มงบให้กองผู้ตรวจการ ของพวกนั้นฟังดูเป็นรูปธรรมแต่อ่อนกว่าการทำให้เห็นด้วยตา และความรับผิดชอบเรื่องวัฒนธรรมจริยธรรมนี้เป็นของ ฝ่ายบริหารระดับสูงเป็นหลัก

ทีนี้ทำไมถึงบอกว่า COSO IC กับ COSO ERM ชอบสลับ ตัว COSO ที่เรากางวันนี้คือ COSO Internal Control (Internal Control – Integrated Framework) ห้าองค์ประกอบ ส่วน COSO อีกตัวคือ COSO ERM ที่เป็นกรอบ บริหารความเสี่ยงทั้งองค์กร ซึ่งเราแตะไปแล้วในบริบทภาษา risk แล้วข้อสอบก็ชอบเอาองค์ประกอบหรือชื่อกรอบของสองตัวนี้มาสลับกันในตัวเลือก ให้ยึดว่าถ้าโจทย์พูดถึง “ห้าองค์ประกอบของ internal control” หรือ “reasonable assurance ต่อ operations/reporting/compliance” นั่นคือ COSO IC ตัวนี้ ส่วนภาษา risk appetite/risk tolerance เต็มรูปแบบไปลงลึกที่กรอบ ERM ซึ่งเราคุยกันไว้แล้วที่ตอน /posts/cia-p1-07-risk-language-coso-erm-iso31000/

  • มุมเถ้าแก่/สภา: เถ้าแก่ต้องเข้าใจว่าต่อให้จ่ายเงินวางระบบควบคุมดีแค่ไหน ก็ไม่มีวันซื้อความ แน่นอนร้อยเปอร์เซ็นต์ ได้ สิ่งที่ทำได้คือลดโอกาสให้เหลือน้อยพอรับได้ในราคาที่คุ้ม และจุดอ่อนที่สุดคือเมื่อคนในจับมือกันโกง หรือตัวเถ้าแก่เอง (หรือผู้บริหาร) สั่งข้ามระบบเสียเอง
  • มุมผู้ตรวจ (คนสอบ): เจอตัวเลือกที่พูดว่า control ให้ “absolute assurance”, “รับประกัน”, หรือ “collusion เกิดขึ้นไม่ได้” อันนั้น เท็จ ห้ามเลือกเป็นข้อที่ถูก แต่ระวังขั้วของโจทย์ด้วย ถ้าโจทย์ถามแบบกลับด้าน เช่น “ข้อใด ไม่ใช่ …” ตัวเลือกคำว่า absolute อาจกลายเป็นคำตอบที่ ถูกต้องว่าไม่ใช่ ก็ได้ อ่านขั้วของโจทย์ให้ขาดก่อนเสมอ

⚠️ กับดัก: ตัวเลือกที่ใช้คำเด็ดขาดอย่าง “absolute”, “guarantee”, “cannot occur” มักเป็นข้อความ เท็จ เพราะ control ให้ได้แค่ reasonable assurance แต่ห้ามหลับตากดข้อที่มีคำเด็ดขาดทันที ถ้าโจทย์เป็นแบบ NOT/EXCEPT ต้องดูก่อนว่ามันถามหาอะไรกันแน่ อีกกับดักคือเอา incompatible duties มาปนกับ inherent limitations ทั้งที่อันแรกเป็นช่องโหว่ที่แก้ได้ ไม่ใช่ข้อจำกัดติดตัวของ control

ตารางกับดักรวม#

สถานการณ์ในโจทย์คำตอบหลอกคำตอบจริง
มีข้อผิดพลาดในการประมวลผลจำนวนมาก ต้องแก้risk assessment (แค่ระบุความเสี่ยง)control activities (ลงมือแก้เดี๋ยวนี้)
ไม่ได้เข้าไปดู access log จนมีคนแอบเข้าถึงนานmonitoringcontrol activities (การเข้าไปดู log คือการทำ control)
เช็กภาพรวมว่าองค์ประกอบ control ยังอยู่ครบและทำงานตลอดเวลาcontrol activitiesmonitoring
รับมืออย่างเป็นระบบกับการควบรวมกิจการ/เปลี่ยนผู้บริหารmonitoringrisk assessment
ทดสอบว่า control ในอดีตกันความเสียหายได้จริงไหมcontrol activitiesmonitoring (ตัดสินย้อนหลัง)
ประเมิน tone at the top ขององค์กรmonitoring / control activitiescontrol environment
ให้เพิ่ม detective control ในกระบวนการจ่ายเงินเพิ่มการอนุมัติ/แบ่งแยกหน้าที่เทียบผลจริงกับงบ/กระทบยอด (หลังเหตุ)
การตรวจทาน, จำกัดสิทธิ์เข้าถึงเช็คเปล่า, EFT, เซ็นสองคนdetective (เพราะรู้สึกเหมือนจับผิด)preventive (กันไว้ก่อน)
ข้อความที่ถูกต้องเกี่ยวกับ internal control”ให้ absolute assurance / collusion เกิดไม่ได้”ให้ reasonable assurance; cost-benefit เป็นเกณฑ์ออกแบบ
ข้อจำกัดในตัวของ internal control ทั้งหมด ยกเว้นcollusion / management overrideincompatible duties (เป็นช่องโหว่ SoD ไม่ใช่ข้อจำกัดติดตัว)
วิธีส่งต่อจริยธรรมที่ได้ผลที่สุดออกนโยบาย/จดหมายข่าว/เพิ่มงบตรวจสอบผู้บริหารทำให้ดูเป็นตัวอย่าง
tone at the top ช่วยทำทุกอย่าง ยกเว้นปลูกฝังความซื่อสัตย์ทำตามงบประมาณ/เป้าการเงิน (นั่นคือ control activities)
control จับการทุจริตแบบไหนได้ดีสุดกลุ่มที่สมรู้ร่วมคิด / ผู้บริหารที่สั่งข้ามระบบคนที่ทำคนเดียว

สิ่งที่จดสำหรับวันสอบ#

  • COSO Internal Control = 5 องค์ประกอบ จำ “Controls stop CRIME” ให้ครบ แต่จำ หน้าที่ ไม่ใช่เลข
  • จับคำกริยาในโจทย์: ท่าที/จริยธรรม → control environment · ระบุ/วิเคราะห์ความเสี่ยง + รับมือความเปลี่ยนแปลงใหญ่ → risk assessment · อนุมัติ/กระทบยอด/แบ่งแยก → control activities · ประเมินว่า control ยังทำงานไหมเมื่อเวลาผ่านไป → monitoring
  • ทำ control = activities · ตัดสิน control ข้ามเวลา = monitoring (เส้นแบ่งที่พลาดกันเยอะสุด)
  • preventive = ก่อนเหตุ (อนุมัติ, แบ่งแยก, จำกัดสิทธิ์) · detective = หลังเหตุ โดยเทียบกับเกณฑ์อิสระ (กระทบยอด, เทียบงบ)
  • internal control = reasonable assurance เท่านั้น ไม่มีวัน absolute — ตัวเลือกที่พูด “รับประกัน/absolute/collusion เกิดไม่ได้” คือเท็จ
  • ข้อจำกัดในตัวจริง = collusion, management override, faulty human judgment, cost>benefit · incompatible duties ไม่ใช่ข้อจำกัดในตัว (เป็นช่องโหว่ SoD)
  • control จับคนทำคนเดียวได้ดีสุด · เอาไม่อยู่กับกลุ่มสมรู้ร่วมคิดและผู้บริหารสั่งข้ามระบบ
  • tone at the top อยู่ใน control environment · ส่งต่อได้ผลสุดด้วยการทำเป็นตัวอย่าง เป็นความรับผิดชอบของผู้บริหารระดับสูง
  • เจอโจทย์ NOT/EXCEPT อ่านขั้วให้ขาดก่อน อย่ารีบกดข้อที่มีคำเด็ดขาด
  • COSO IC (5 องค์ประกอบ, reasonable assurance) กับ COSO ERM (risk appetite/tolerance เต็มรูป) เป็นคนละกรอบ อย่าให้ข้อสอบสลับชื่อหลอก

รู้จักองค์ประกอบของ control แล้ว ตอนหน้าเราเอามาลงสนามจริง — ทำ risk assessment เต็มรูปที่ระดับภารกิจ ปิดท้ายชุด engagement planning ทั้งชุด ทั้ง risk and control matrix, การเลือกเครื่องมือประเมิน และกับดักที่เนียนเป็นพิเศษ ตอนถัดไป: ประเมินความเสี่ยงระดับภารกิจ

อ้างอิง: Gleim CIA Review (2026), Part 2 · IIA Global Internal Audit Standards (2024)