2058 คำ
10 นาที
CIA Series ตอนที่ 20 : P2 - Risk assessment ระดับภารกิจ
สารบัญ

ลองนึกภาพว่าเถ้าแก่ยื่นไฟฉายให้กระบอกเดียว แล้วบอกว่า “คืนนี้เดินตรวจโกดังทั้งหลังได้แค่ชั่วโมงเดียวนะ” — โกดังมีตั้งสิบมุม แต่แสงไฟส่องได้ทีละจุด คำถามแรกที่ต้องตอบไม่ใช่ “จะตรวจยังไง” แต่คือ “จะส่องตรงไหนก่อน” มุมที่ของมีค่าเยอะและล็อกหลวม กับมุมที่เก็บกล่องเปล่าไม่มีใครสนใจ — เวลาเท่ากัน แต่คุณค่าของการส่องต่างกันลิบ

เอาตรงๆ นี่แหละคือหัวใจของ risk assessment ตอนวางแผนภารกิจตรวจสอบ เวลามีจำกัด คนมีจำกัด จะเอาแรงไปลงตรงไหนให้คุ้มที่สุด คำตอบไม่ได้มาจากลางสังหรณ์ แต่มาจากการไล่ดูอย่างมีระบบว่า key risks and controls (ความเสี่ยงและการควบคุมที่สำคัญ) ของงานที่กำลังจะตรวจอยู่ตรงไหน อันไหนหนักอันไหนเบา แล้วค่อยจัดลำดับ

ตอนนี้เป็นตอนปิดท้ายของชุด engagement planning ใน Part 2 — เอาทุกอย่างที่ปูมาทั้งชุดมาลงที่ระดับภารกิจจริง ทำ risk assessment เต็มรูปของ activity under review (กิจกรรมที่อยู่ระหว่างการตรวจ) ทีละงาน หัวข้อนี้ข้อสอบออกหนักมาก แล้วกับดักที่วางก็เนียนเป็นพิเศษ เพราะมันชอบเอาคำที่ “ฟังดูดี” หรือ “ฟังดูขยัน” มาล่อในจังหวะที่คำตอบจริงคือคนละอย่าง อ่านผ่านๆ พลาดได้ง่ายมาก

ตอนที่แล้วเรากาง COSO Internal Control ทั้งห้าองค์ประกอบกันครับ (ตอนที่ 19) จับคำกริยาในโจทย์ให้ตรงองค์ประกอบ แยก control activities ออกจาก monitoring แยก preventive ออกจาก detective และย้ำว่า internal control ให้ได้แค่ reasonable assurance เพราะข้อจำกัดในตัวอย่าง collusion กับ management override ตอนนี้เอาความเข้าใจเรื่อง control ก้อนนั้นมาลงที่ระดับภารกิจจริง ทำ risk assessment เต็มรูปเป็นก้าวปิดชุดวางแผน

โครงของบท#

  • risk and control matrix กับการประเมิน: จับคู่นิยามให้เป๊ะ — inherent vs residual, matrix (ของ) vs assessment (กระบวนการ), และ risk = probability × impact เสมอ
  • Topical Requirements: เจอ gap มาตรฐาน ให้ยึดมาตรฐานภายนอกเฉพาะอุตสาหกรรม แล้วฝังเข้ารอบงานประจำ อย่ารอ อย่าหยุด
  • pervasive & emerging risks: ความเสี่ยงใหม่ต้องมองไปข้างหน้าและเล็งให้ตรงเป้า — และประเมินก่อน ค่อยแก้
  • เลือกเครื่องมือให้ตรงบริบท: SWOT / PESTEL / Pareto / scenario / ITGC — และทำไม Monte Carlo มักเป็นตัวหลอก
  • ผลของการเปลี่ยนแปลง: คน-process-ระบบขยับ ความเสี่ยงขยับตาม — ประเมินก่อนลงมือ, คนออก = ความรู้หาย
  • โครงสร้าง + วัฒนธรรม: centralized/decentralized/flat, remote/hybrid, tone at the top กระทบ control environment ยังไง
  • กติกาเหล็ก: management เป็นเจ้าของความเสี่ยง, board กำกับ, internal audit function แค่ให้ความเชื่อมั่น

ส่องไฟฉายด้วย risk and control matrix#

กลับมาที่โกดังกับไฟฉายกระบอกเดียว เครื่องมือที่ช่วยให้ผู้ตรวจสอบภายในตัดสินใจว่าจะส่องตรงไหนก่อน คือ risk and control matrix (RCM, ตารางความเสี่ยงและการควบคุม) — เป็นตารางที่โยงวัตถุประสงค์ทางธุรกิจ ความเสี่ยง กระบวนการควบคุม และข้อมูลสำคัญเข้าด้วยกัน พูดง่ายๆ คือเอา “รายการความเสี่ยงทั้งหมด” ของงานที่กำลังตรวจ มาวางเรียงให้เห็นในหน้าเดียว แล้วระบุว่าแต่ละความเสี่ยง ฝ่ายบริหารมี control อะไรมารับหรือเปล่า

พอทำ RCM เสร็จ ผู้ตรวจจะเห็นทันทีว่าความเสี่ยงสำคัญแต่ละอันถูกจับคู่กับ control ที่เหมาะสมไหม ตรงไหนมีรูโหว่ที่ยังไม่มีอะไรมารับเลย นี่แหละคือฐานที่ช่วยพิจารณา design adequacy (ความเพียงพอของการออกแบบ) ของ control — ถ้าออกแบบมาดีแล้ว ค่อยไปทดสอบว่ามันทำงานจริงไหม แต่ถ้าดูแล้วออกแบบมาไม่พอ ก็ต้องขยายงานตรวจออกไป

ทีนี้พอระบุความเสี่ยงและ control ครบแล้ว ก็เข้าสู่ risk assessment — และตรงนี้แหละที่ข้อสอบชอบวางกับดักด้วยการสลับคำที่ฟังคล้ายกัน

⚠️ กับดัก: จุดพลาดคลาสสิกคือสลับ matrix กับ assessment — risk and control matrix คือ ตัวรายการ ความเสี่ยงทั้งหมด (มันเป็น “ของ” ชิ้นหนึ่ง) ส่วน risk assessment คือ กระบวนการ ตัดสินว่าความเสี่ยงแต่ละอันสำคัญและมีโอกาสเกิดแค่ไหน โจทย์ที่ถามหา “การรวบรวมความเสี่ยงทั้งหมดที่กระทบกลยุทธ์/วัตถุประสงค์” คำตอบคือ risk and control matrix ไม่ใช่ risk assessment แต่ตัวหลอกจะยื่น “risk assessment” มาให้ / และถ้าโจทย์ถามถึง “กระบวนการประเมินความเสี่ยง และ control ในกระบวนการธุรกิจ” นั่นก็ยังเป็นตัว matrix (เครื่องมือ) ไม่ใช่ตัว assessment

inherent กับ residual — สลับกันด้วยคำเดียว#

ในการประเมิน มีคู่คำที่ต้องแม่นสุดๆ เพราะข้อสอบวางกับดักด้วย วลีเดียว ในโจทย์ พลาดคำเดียวคือติ๊กผิดข้อเลย

ถ้าเถ้าแก่เปิดโกดังทิ้งไว้เฉยๆ ไม่ล็อก ไม่มีกล้อง — ความเสี่ยงถูกขโมยในสภาพที่ฝ่ายบริหารยัง ไม่ได้ลงมือทำอะไร เลย อันนี้เรียกว่า inherent risk (ความเสี่ยงตั้งต้น) นิยามคือ “ความเสี่ยงในสภาพที่ไม่มีการกระทำของฝ่ายบริหาร” หรือความเสี่ยงในสภาพไม่มี control

พอเถ้าแก่ล็อกประตู ติดกล้อง จ้างยาม แล้วความเสี่ยง ที่ยังเหลือหลังจากลงมือทำไปแล้ว — อันนั้นคือ residual risk (ความเสี่ยงคงเหลือ) วลีที่บอกว่า “หลังฝ่ายบริหารลงมือเปลี่ยนความรุนแรงแล้ว” คือสัญญาณของ residual

⚠️ กับดัก: โจทย์จะเล่าสถานการณ์แล้วซ่อนวลีชี้ทางไว้ — “in the absence of management action” (ในสภาพไม่มีการกระทำของฝ่ายบริหาร) = inherent ส่วน “after management acts to alter severity” (หลังฝ่ายบริหารลงมือเปลี่ยนความรุนแรง) = residual และมันจะยื่นอีกตัวที่ตรงข้ามมาล่อเสมอ อ่านวลีชี้ทางในโจทย์ให้ขาด อย่าเดาจากคำที่คุ้นตา

risk = probability × impact เสมอ#

อีกจุดที่ข้อสอบเล่นซ้ำๆ คือ การวัดความเสี่ยง ต้องใช้ ทั้งสองแกน เสมอ — probability (ความน่าจะเป็น/โอกาสเกิด) คูณกับ impact (ผลกระทบ) ไม่มีทางเป็นแค่แกนเดียวเด็ดขาด

⚠️ กับดัก: “financial loss” (ความสูญเสียทางการเงิน) และ “safety value” (มูลค่าด้านความปลอดภัย) เป็นแค่ ครึ่งเดียว คือฝั่ง impact เท่านั้น ถ้าถามว่า “ความเสี่ยงวัดจากอะไร” แล้วตัวเลือกให้แค่ตัวใดตัวหนึ่ง — ผิด เพราะขาด probability / และตัวหลอกอีกแบบคือให้สูตรครึ่งๆ อย่าง “likelihood × duration” หรือ “volatility × impact” — คำตอบจริงต้องเป็น probability และ impact เท่านั้น

⚠️ กับดัก: ยังมีศัพท์ข้างเคียงที่เอามาปลอมเป็นนิยาม — risk capacity, risk appetite, event risk, economic risk ถูกวางเป็นนิยามหน้าตาคล้ายกันเพื่อดูดคลิก อ่านนิยามในโจทย์ให้ตรงคำเป๊ะๆ และถ้าถามว่า “อันไหน ไม่ใช่ ขั้นตอนสำคัญของ risk management” ตัวหลอกจะเป็นขั้นตอนปลอมอย่าง “พิจารณาความเสี่ยงปัจจุบันแบบแยกโดดๆ” ซึ่งไม่ใช่ขั้นตอนจริง ส่วนขั้นจริงคือ ประเมิน-จัดลำดับ-ตอบสนอง

พอวัดด้วยสองแกนได้แล้ว ก็เอามาวางบน heat map (แผนที่ความร้อน) เพื่อจัดลำดับตามความสำคัญ อันที่ทั้งโอกาสเกิดสูงและผลกระทบสูงคือตัวที่ต้องส่องไฟก่อน

มุมเถ้าแก่: ส่วนต่างระหว่าง inherent กับ residual คือ “ตู้เซฟกับยามที่จ้างไป ซื้อความสบายใจมาได้จริงเท่าไหร่” ถ้าลงทุนไปเยอะแต่ความเสี่ยงคงเหลือแทบไม่ลด แปลว่าจ่ายผิดที่

มุมผู้ตรวจ (คนสอบ): เจอโจทย์เรื่องความเสี่ยง ให้ถามสองข้อ — “ฝ่ายบริหารลงมือหรือยัง” (ยัง = inherent, แล้ว = residual) และ “โจทย์วัดความเสี่ยงด้วยแกนเดียวหรือสองแกน” (แกนเดียว = ตัวหลอก)

เจอ finding แล้วถามหา “ความเสี่ยง” — ตัดข่าวดีทิ้ง#

มีมุมหนึ่งที่ข้อสอบชอบมาก คือเล่า finding (สิ่งที่ตรวจพบ) แล้วถามว่า finding นี้ ก่อความเสี่ยงอะไร กับดักคือมันจะแอบใส่ตัวเลือกที่เป็น ข่าวดี ปนมา

⚠️ กับดัก: ตัวเลือกที่ขึ้นต้นด้วย “improved / enhanced / corrected / better” (ดีขึ้น / เพิ่มขึ้น / แก้แล้ว) เช่น “ความร่วมมือข้ามแผนกดีขึ้น” หรือ “จุดอ่อนได้รับการแก้ไขแล้ว” — พวกนี้เป็น ประโยชน์ ไม่ใช่ความเสี่ยง ถ้าโจทย์ถามหาความเสี่ยง ตัดข่าวดีทิ้งอัตโนมัติ / อีกแบบคือความเสี่ยงจริงแต่ ผิดโดเมน เช่น finding เรื่องการเข้าถึงข้อมูล (data access) แต่ตัวเลือกดันพูดถึง system downtime หรือการปรับปรุงงบการเงิน — ต้องเลือกตัวที่อยู่ในโดเมนเดียวกับ finding เช่น การเข้าถึงข้อมูลลูกค้าโดยไม่ได้รับอนุญาต

⚠️ กับดัก: ถ้าโจทย์เปลี่ยนเป็นถามหา “วิธีแก้ที่ดีที่สุด” ตัวหลอกจะเป็นแบบที่แค่ เฝ้าระวังหรือกำกับ เช่น สุ่มตรวจ, ตั้ง compliance officer, เพิ่มยาม — คำตอบจริงคือตัวที่ ขจัดต้นเหตุ เช่น ถ้าคนแอบข้ามระบบติดตามทรัพย์สินบ่อยๆ ให้ integrate เข้ากับ ERP เพื่อ automate ไม่ใช่แค่สุ่มตรวจถี่ขึ้น

Topical Requirements — ชี้ออกนอก อย่าชี้เข้าใน#

พอทำ risk assessment ก็ต้องคำนึงถึง Topical Requirements ของ IIA ด้วย — พวกนี้คือข้อกำหนดที่ IIA ทยอยออกมาเป็นระยะ เพื่อวางเกณฑ์ขั้นต่ำสำหรับเรื่องที่เกิดใหม่หรือวิกฤตเฉพาะทาง แล้วพอประเมินแล้วเจอว่าความเสี่ยงเรื่องนั้นสำคัญเกินระดับที่ยอมรับได้ (เทียบกับ risk appetite ขององค์กร) Topical Requirement นั้นก็จะ relevant ขึ้นมาทันที ต้องเอาเข้ามาพิจารณาในภารกิจ

หัวใจของหัวข้อนี้ในข้อสอบมีคำเดียว: ชี้ออกนอก เจอช่องว่างเรื่อง framework หรือมาตรฐานหรือ compliance คำตอบที่ถูกคือ ยึดมาตรฐานภายนอกที่เป็นที่ยอมรับ ไม่ใช่ยึดของภายในที่คิดกันเอง

⚠️ กับดัก: ตัวหลอกที่วางไว้ให้ดู “ขยัน” แต่ผิด คือพวกที่ชี้ เข้าใน — นโยบายภายในองค์กร, รายงานของผู้จัดการแผนก, ประสบการณ์ของผู้ตรวจเอง, ข้อมูลความเสี่ยงในอดีต, การสัมภาษณ์พนักงานหน้างาน คำตอบจริงคือตัวที่เทียบองค์กรกับ มาตรฐานภายนอกเฉพาะอุตสาหกรรม เช่น ISO, PCI-DSS, HITECH หรือ Global Guidance ของ IIA

⚠️ กับดัก: เมื่อมีตัวเลือกที่ชี้ออกนอกสองตัว ให้เลือกตัวที่ระบุ มาตรฐานเฉพาะของอุตสาหกรรมนั้น ไม่ใช่ framework กว้างๆ เช่น ถ้าเป็นเรื่องข้อมูลบัตรเครดิตของธนาคาร คำตอบคือ PCI-DSS ไม่ใช่ COSO ERM ทั่วไป หรือ best practice ของภาคอื่น / และถ้าถามว่า Global Guidance ของ IIA ทำหน้าที่อะไร คำตอบคือ “ช่วยให้กระบวนการตรวจสอดคล้องกับข้อกำหนดเฉพาะและซึมซับ best practice” ไม่ใช่ “ใช้แทนมาตรฐานทั้งหมด” หรือ “กำหนดมาตรฐานทางกฎหมาย”

ฝังเข้ารอบงาน อย่ารอ อย่าหยุด#

พอเจอช่องว่างมาตรฐานแล้ว คำถามถัดมาคือ “แล้วจะจัดการยังไง” — คำตอบมีทิศชัดเจน: ฝังการแก้เข้าไปในรอบงานประจำ แล้วติดตามต่อเนื่อง

⚠️ กับดัก: ตัวหลอกมาสามแบบ แบบแรกคือ ตรวจครั้งเดียวจบ (one-off) — ตรวจทีเดียวแก้ได้แต่ไม่สร้างอะไรที่ยั่งยืน แบบที่สองคือ รอ/เลื่อน — รอ external audit รอบหน้า, เลื่อนไปหลังตรวจตามกำหนด, หรือแย่สุดคือรอให้เกิด data breach ก่อนค่อยเปลี่ยน แบบที่สามคือ หยุด/ระงับ เกินเหตุ — สั่งหยุดการผลิต, ระงับธุรกรรมทั้งหมด, หยุดกิจกรรมข้อมูลทั้งหมด คำตอบจริงคือ ฝังเข้ากระบวนการที่ทำอยู่เป็นประจำและ monitor ต่อเนื่อง

⚠️ กับดัก: ถ้าถามว่า “ควรทบทวน Topical Requirement ใหม่บ่อยแค่ไหน” คำตอบคือ สม่ำเสมอ ตามที่มันออกมา (regularly, as released) ไม่ใช่ “ทุก 5 ปี” หรือ “เฉพาะตอนมีการเปลี่ยนแปลงใหญ่” หรือ “เฉพาะตอนกลยุทธ์ตรวจเปลี่ยน”

มุมเถ้าแก่: การรอให้ “ของแตก” ก่อนค่อยแก้ ฟังดูประหยัดในวันนี้ แต่ค่าเสียหายวันที่แตกจริงมักแพงกว่าการฝังระบบตรวจไว้ในงานประจำหลายเท่า

มุมผู้ตรวจ (คนสอบ): จับ trigger สองชุด — ถ้าโจทย์มีคำว่า framework/มาตรฐาน/compliance gap ให้เล็ง “ยึดมาตรฐานภายนอกเฉพาะทาง” และถ้าถามว่าจะจัดการต่อยังไง ให้เล็ง “ฝังเข้ารอบงาน + ติดตาม” ตัดตัวที่ one-off, รอ, หรือหยุดทิ้ง

Pervasive และ emerging risks — มองไปข้างหน้า เล็งให้ตรง#

ต่อมาคือความเสี่ยงสองกลุ่มที่ต้องแยกให้ออก pervasive risks (ความเสี่ยงที่แผ่ทั่วองค์กร) คือความเสี่ยงที่กระทบทั้งองค์กร ไม่ใช่แค่จุดใดจุดหนึ่ง กระทบ control environment (สภาพแวดล้อมการควบคุม) โดยรวม แบ่งได้เป็นด้านการเงิน, operational, IT, cybersecurity, และ regulatory

ส่วน emerging risks (ความเสี่ยงที่กำลังก่อตัว) คือความเสี่ยงใหม่ที่มาจากเทรนด์อุตสาหกรรม เทคโนโลยีใหม่ หรือความเปลี่ยนแปลงเชิงภูมิรัฐศาสตร์

หัวใจในข้อสอบสำหรับความเสี่ยงกลุ่มนี้คือ มองไปข้างหน้า และเล็งให้ตรงเป้า เพราะความเสี่ยงที่กำลังวิวัฒน์ ถ้าไปมองย้อนหลังหรือกวาดกว้างๆ มันตามไม่ทันเสมอ

⚠️ กับดัก: ตัวหลอกแบบ มองย้อนหลัง — “ทบทวนเหตุการณ์ noncompliance ในอดีต”, “วิเคราะห์เทรนด์การเงินย้อนหลัง”, “โฟกัสข้อมูล compliance เก่าอย่างเดียว” — ช้าเกินไปสำหรับความเสี่ยงที่กำลังเปลี่ยน / ตัวหลอกแบบ กวาดกว้างเกิน/ผิดเป้า — “process mapping ของกิจกรรม compliance ทั้งหมด”, “ประเมินความไม่มีประสิทธิภาพทุกแผนก” — ขอบเขตจริงแต่ไม่ได้เล็งความเสี่ยงใหม่ / และตัวหลอก เพิ่มของเดิม — “เพิ่มความถี่การตรวจแบบดั้งเดิม” ฟังดูขยันแต่ไม่ใช่การยกระดับเชิงรุกที่สถานการณ์ต้องการ

⚠️ กับดัก: เมื่อความเสี่ยงใหม่มาจาก ระบบเฉพาะ (เช่นระบบ telemedicine หรือ EHR เวชระเบียนอิเล็กทรอนิกส์) คำตอบจริงคือ control เฉพาะของระบบนั้น เช่น การเข้ารหัสและ cybersecurity ของข้อมูล ไม่ใช่การรีวิวประสิทธิภาพทั่วไป / ถ้าเป็นกฎระเบียบที่เปลี่ยนเร็วและเชิงกลยุทธ์ ให้ engage ผู้บริหารระดับสูงเรื่องแผนรับมือ (มองไปข้างหน้า + ตรงเป้า) หรือทำ continuous/real-time auditing แทนการแค่ตรวจถี่ขึ้น

ประเมินก่อน แล้วค่อยแก้#

มีมุมที่จับคู่กันเสมอ — พอเจอความเสี่ยงเฉพาะโผล่มา สิ่งแรกที่ควรทำคือ ประเมิน ก่อน ไม่ใช่กระโดดไปแก้จุดเดียว

⚠️ กับดัก: ตัวหลอกแบบ แก้ก่อนประเมิน — “ตั้งรหัสผ่านให้แข็งขึ้น”, “อัปเกรด firewall/antivirus”, “อบรมเพิ่ม” ทั้งหมดมีประโยชน์แต่ควร ตามหลัง การประเมิน ไม่ใช่นำ / ตัวหลอกแบบ แก้อาการ — “เพิ่มสต็อกเป็น buffer” เมื่อ supplier มีปัญหา สิ้นเปลืองและไม่แตะต้นเหตุ / ตัวหลอกแบบ เพิ่มความเสี่ยงใหม่ — “ใช้ supplier รายเดียว” สร้างการพึ่งพิงเกินไป คำตอบจริงเมื่อเจอภัยคุกคามเฉพาะที่ยังไม่เข้าใจดี คือ เสนอทำ risk assessment แบบเจาะจง ก่อน และถ้าเป็นปัญหา performance ที่เกิดซ้ำ ให้เสริม control ที่ วัดและประเมินต่อเนื่อง (metrics + การประเมินสม่ำเสมอ) เพราะนั่นคือตัวที่ขุดต้นเหตุ

พูดถึงความเสี่ยงที่แผ่ทั่วองค์กร ขอแทรกอีกสามคำที่ข้อสอบชอบซ่อนในตัวอย่าง เวลาองค์กรมี business risks (ความเสี่ยงทางธุรกิจ) หลายชนิด บางตัวมีหน้าตาเฉพาะที่ต้องรู้จัก

model risk (ความเสี่ยงจากแบบจำลอง) คือความเสี่ยงที่โมเดลคำนวณหรือทำนายผิดพลาดแล้วพาการตัดสินใจเพี้ยน reputational risk (ความเสี่ยงด้านชื่อเสียง) คือความเสียหายต่อภาพลักษณ์ที่มักตามมาหลัง regulatory breach หรือเหตุอื้อฉาว ส่วน social responsibility risk (ความเสี่ยงด้านความรับผิดชอบต่อสังคม) คือความเสี่ยงจากการที่องค์กรไม่ทำหน้าที่ต่อสังคมหรือสิ่งแวดล้อมตามที่ผู้มีส่วนได้เสียคาดหวัง — ทั้งสามตัวนี้ล้วนเป็นความเสี่ยงที่ควรอยู่ใน risk profile ตอนวางแผนภารกิจ

เลือกเครื่องมือให้ตรงบริบท#

พอถึงขั้นประเมินและจัดลำดับ มีเครื่องมือหลายตัวให้เลือก และข้อสอบชอบทดสอบว่า อ่านบริบทในโจทย์แล้วหยิบเครื่องมือถูกไหม เคล็ดลับคือจับ “คำใบ้” ในโจทย์ให้ได้ แล้วค่อยแมตช์กับเครื่องมือ

สัญญาณในโจทย์เครื่องมือที่ใช่ทำอะไร
ทรัพยากรจำกัด / การเงินตึงตัวPareto (80/20)หา 20% ของความเสี่ยงที่ก่อผล 80%
ปัจจัย ภายในและภายนอก ปนกัน / มองแบบองค์รวมSWOTจุดแข็ง-อ่อน-โอกาส-ภัยคุกคาม
ภัยคุกคาม ภายนอก ระดับมหภาค / ที่กำลังก่อตัวPESTELการเมือง เศรษฐกิจ สังคม เทคโนโลยี สิ่งแวดล้อม กฎหมาย
สำรวจผลลัพธ์ในอนาคตของปัจจัยที่รู้อยู่scenario analysisสร้างและประเมินฉากทัศน์
control ของระบบ IT / โครงสร้างพื้นฐานเฉพาะITGC testingทดสอบ control ทั่วไปของระบบ IT

⚠️ กับดัก: Monte Carlo simulation เป็นตัวหลอกประจำ — มันขายภาพว่าเข้มงวดน่าเชื่อถือ แต่มันเป็นเชิงปริมาณ/ความน่าจะเป็น ต้องมี framework อยู่ก่อน จึงผิดสำหรับการประเมินขั้นต้นหรือเชิงคุณภาพ เจอ Monte Carlo ในโจทย์ประเมินเบื้องต้น ให้เอ๊ะไว้ก่อน

⚠️ กับดัก: PESTEL กับ SWOT ถูกสลับกันบ่อย — PESTEL = ปัจจัย ภายนอก ระดับมหภาคล้วนๆ ส่วน SWOT = ภายในผสมภายนอก / มององค์รวม การเลือก PESTEL ไปตอบเรื่อง control ของโครงสร้าง IT (ซึ่งเป็นเรื่องภายใน) คือกับดัก / และ risk matrix กับ heat map มักถูกวางเป็น “การจัดลำดับ” แต่จริงๆ มันแค่ map impact-likelihood ไม่ได้โฟกัสความเสี่ยงสำคัญยามทรัพยากรจำกัด และ heat map เองก็ไม่ได้ขับเคลื่อนการปรับปรุง

มุมเถ้าแก่: เครื่องมือแพงและซับซ้อนที่สุดไม่ใช่เครื่องมือที่ดีที่สุดเสมอ — ถ้าเงินตรวจมีน้อย การหยิบ Pareto มาโฟกัสจุดที่เจ็บสุดก่อน คุ้มกว่าการทุ่มทำโมเดลจำลองมหาศาลที่กินเวลาและงบ

มุมผู้ตรวจ (คนสอบ): ก่อนเลือกเครื่องมือ ให้ขีดเส้นใต้ “คำใบ้บริบท” ในโจทย์ก่อนเสมอ — จำกัดทรัพยากร → Pareto, ในผสมนอก → SWOT, นอกมหภาค → PESTEL, ระบบ IT เฉพาะ → ITGC และถ้าเห็น Monte Carlo ในโจทย์ประเมินขั้นต้น มันมักคือตัวที่ต้องตัดทิ้ง

จัดลำดับก่อน ค่อยลงมือ#

พอมีเครื่องมือแล้ว ก็ต้องระวังอีกกับดักหนึ่งที่ผูกกับ “ลำดับการทำงาน”

⚠️ กับดัก: “เพิ่มความถี่/ขอบเขตการตรวจ” ถูกวางเป็นงานยุ่งที่ฟังดูขยัน แต่มันเปลืองทรัพยากรโดยไม่ได้เข้าใจความเสี่ยงก่อน / “อบรมอย่างเดียว” ฟังดูเชิงรุกแต่ข้ามการประเมินและความรับผิดชอบ / “แก้ทันที/หยุดกิจกรรม” กระโดดไปแก้ก่อนเข้าใจ คำตอบจริงคือ สร้างความเข้าใจหรือรากฐานก่อนแก้ — ถ้าถามขั้นแรกของความเสี่ยงที่เพิ่งเจอ ให้ ทำ risk assessment ก่อน / ถ้าองค์กรยัง ไม่มี กระบวนการความเสี่ยงทางการเลย คำตอบคือสร้าง risk register (ทะเบียนความเสี่ยง — ศูนย์รวมความเสี่ยงที่ทุกอย่างต้องอิง) ไม่ใช่กระโดดไปใช้เทคนิคขั้นสูงที่สมมติว่ามี framework อยู่แล้ว

ผลของการเปลี่ยนแปลง — คน process ระบบขยับ ความเสี่ยงขยับตาม#

ทีนี้มาถึงเรื่องที่ scene หลักของตอนนี้เน้น: พอมีอะไรเปลี่ยน — ระบบใหม่ ผู้บริหารใหม่ ตลาดใหม่ — ความเสี่ยงมันขยับตาม และผู้ตรวจต้องจับให้ทัน การเปลี่ยนแปลงมาสามหมวด: people (คน — turnover, skill gap, ปรับโครงสร้าง), processes (กระบวนการ — reengineering, workflow ใหม่, automation), และ systems (ระบบ — เทคโนโลยีใหม่, upgrade, ย้ายข้อมูล)

⚠️ กับดัก: เมื่อถามว่า “การเปลี่ยนแปลงนี้ก่อความเสี่ยงอะไรให้ประเมิน” ตัวหลอกจะเป็น ข่าวดีที่แต่งตัวมาเหมือนความเสี่ยง — “efficiency สูงขึ้น”, “visibility เพิ่ม”, “ต้นทุนลด”, “engagement ลูกค้าสูงขึ้น” พวกนี้คือ ประโยชน์ ที่การเปลี่ยนแปลงตั้งใจให้เกิด ตัดทิ้ง คำตอบจริงต้องเป็นตัวที่บรรยาย สิ่งที่พังได้ — data migration error ตอนย้ายข้อมูล, integration failure กับระบบเดิม, cyber breach, ระบบขัดข้องจนสายการผลิตหยุด เลือกตัวที่เฉพาะเจาะจงกับเทคโนโลยีที่เพิ่งเอาเข้ามา

⚠️ กับดัก: เมื่อมีการเปลี่ยนแปลงแล้วถามว่า “ผู้ตรวจควรทำอะไรก่อน” ให้มองหา กริยาที่แปลว่าประเมิน — assess, evaluate, ระบุพื้นที่เสี่ยงสูง, ทำความเข้าใจผลกระทบ, อัปเดต risk register นี่คืองานแรก ส่วน แก้/อบรม/รื้อ/ระงับ/ทดสอบ pen-test/สร้างเอกสาร เป็นงานปลายทางที่ต้องให้การประเมินนำทางก่อน / กับดักเรื่องเอกสาร: ผู้ตรวจ แนะนำ ได้ แต่การเตรียมเอกสารเป็นงานของแผนกเจ้าของ ไม่ใช่ของ internal audit

⚠️ กับดัก: เมื่อการปรับโครงสร้างทำให้เกิด staff turnover ความเสี่ยงที่ผู้ตรวจต้องจับคือ การสูญเสียความรู้ในองค์กร (loss of institutional knowledge) → error และ control อ่อนลง / compliance ไม่ใช่เรื่องขวัญกำลังใจ, การนัดหยุดงาน, หรือต้นทุนเงินเดือน ตัวหลอกจะยื่น “morale ตก”, “แนะนำขึ้นเงินเดือนทันที”, “ต้นทุนอบรมสูงขึ้น” มาล่อ — พวกนั้นเป็นอาการฝั่ง HR ไม่ใช่ความเสี่ยงของผู้ตรวจ คำตอบมักชี้ไปที่กลไก เช่น turnover → ประเมินการ training/onboarding เพื่อรักษา control ให้ยังได้ผล หรือปรับบทบาท → ประเมิน control ด้าน compliance ที่ผูกกับบทบาทใหม่

มุมเถ้าแก่: ตอนคนเก่งลาออก สิ่งที่เถ้าแก่ควรกลัวไม่ใช่ “เขาไม่พอใจอะไร” แต่คือ “ความรู้ที่อยู่ในหัวเขาหายไปกับตัว แล้วงานที่เขาเคยกันพลาดไว้จะเริ่มพลาด”

มุมผู้ตรวจ (คนสอบ): โจทย์เปลี่ยนแปลง ให้แยกสองสเต็ป — (1) ถามหา “ความเสี่ยง” = ตัดข่าวดีทิ้ง เลือกสิ่งที่พังได้ (2) ถามหา “ทำอะไรก่อน” = เลือกกริยาประเมิน อย่าเลือกกริยาลงมือ

โครงสร้างและวัฒนธรรมองค์กร กระทบ control environment#

โครงสร้างองค์กรและสภาพแวดล้อมการทำงานเปลี่ยนหน้าตาความเสี่ยงและวิธีวาง control ผู้ตรวจเลยต้องปรับการประเมินให้เข้ากับบริบทเฉพาะขององค์กร ตรงนี้ข้อสอบมีชุดกับดักที่ค่อนข้างเป็นระบบ จับเป็นสี่กรณีได้เลย

งาน remote/hybrid → ความเสี่ยงคือ IT security เมื่อโจทย์พูดถึงงานทางไกลหรือ hybrid ความเสี่ยงหลักคือความปลอดภัยของข้อมูล/ไซเบอร์ผ่านการเข้าถึงระยะไกล คำตอบคือ IT security (VPN, encryption, endpoint) ไม่ใช่ physical security, ไม่ใช่บังคับกลับเข้าออฟฟิศ, ไม่ใช่แค่ monitoring หรืออบรม

⚠️ กับดัก: ตัวหลอกคือ physical security ที่ฟังดู “ปลอดภัย”, หรือ “บังคับทุกคนกลับออฟฟิศ/จำกัด remote” ซึ่ง ฆ่าโมเดลการทำงานทิ้ง, หรือประโยชน์ที่แต่งตัวเป็นความเสี่ยง (ต้นทุนออฟฟิศลด, พนักงานพอใจขึ้น) / และถ้าโจทย์เน้นความ สม่ำเสมอ ข้ามทั้งสองแบบ (in-person และ remote) คำตอบคือนโยบาย/control ที่ใช้กับทั้งสองแบบอย่างสอดคล้อง ไม่ใช่ remote อย่างเดียว

decentralized ที่ปฏิบัติไม่สม่ำเสมอ → วางแนวทางร่วม อย่าดึงกลับส่วนกลาง โครงสร้างกระจายอำนาจที่แต่ละหน่วยทำความเสี่ยงไม่เหมือนกัน แก้ด้วย guideline + training + การสื่อสารที่ รักษาความเป็นอิสระของหน่วยไว้ ไม่ใช่ดึงอำนาจตัดสินใจกลับ HQ

⚠️ กับดัก: “centralize decision-making / ดึงอำนาจกลับส่วนกลาง” over-correct ฆ่าความเป็นอิสระที่โครงสร้างนี้มีไว้เพื่อ — ผิดเมื่อโจทย์พูดถึงแค่ ความไม่สม่ำเสมอ / “ให้แต่ละหน่วยสร้าง framework เอง” ยิ่งทำให้ไม่สม่ำเสมอหนักขึ้น / “ตรวจถี่ขึ้น/เพิ่ม oversight” เป็นการบังคับเชิงรับ ไม่สร้างความสม่ำเสมอ ยกเว้น โจทย์ระบุว่ามี control ล้มเหลว จริงหรือพังเป็นระบบ — กรณีนั้นความรุนแรงพลิกคำตอบให้ centralize ฟังก์ชันความเสี่ยงได้

flat hierarchy ที่หน้าที่สับสน → กำหนดบทบาทให้ชัด อย่าเพิ่มชั้น โครงสร้างแบนหรือปรับโครงสร้างที่เกิดความคลุมเครือของบทบาท/ช่องว่างความรับผิดชอบ แก้ด้วยการ นิยามบทบาทและ accountability ให้ชัด ไม่ใช่เพิ่มชั้นบริหาร

⚠️ กับดัก: “เพิ่มชั้นบริหาร/ทำเป็นลำดับชั้น/รวมศูนย์” ขัดกับและทำลายความคล่องตัวของโครงสร้างแบน / “แยกหน้าที่เข้มงวดเพื่อ ขจัด การทับซ้อนทั้งหมด” ทำไม่ได้จริงและลดความยืดหยุ่น — คำว่า “eliminate” คือสัญญาณเตือน / “แผนสื่อสาร” ช่วยได้แต่ไม่ได้นิยามว่าใครเป็นเจ้าของอะไร จึงไม่แตะต้นเหตุ มุมกลับ: ถ้าเป็นลำดับชั้นแบบดั้งเดิมที่ ช้าเกินไป คำตอบพลิกเป็นลดชั้น/streamline การสื่อสาร ซึ่งตรงข้ามกัน

ผู้ตรวจเสนอแนะ ไม่ลงมือทำเอง — และตรวจถี่ไม่ใช่ยารักษา ไม่ว่าโครงสร้างแบบไหน ผู้ตรวจ แนะนำ/ประเมิน/เสนอ ไม่ใช่ไป implement ระบบหรือเป็นเจ้าของการแก้ของฝ่ายบริหาร

⚠️ กับดัก: “implement ERP ทั้งองค์กร/สร้างระบบ” เป็นงานของฝ่ายบริหาร ผู้ตรวจไม่ทำ / “ตรวจถี่ขึ้น” เชิงรับ จับปัญหาได้แต่ไม่รักษาความไม่สม่ำเสมอหรือความคลุมเครือ มุมกลับ: ถ้าช่องว่างอยู่ที่ วิธีตรวจเอง ไม่พอสำหรับความเสี่ยงใหม่ การ พัฒนา procedure ตรวจใหม่ กลับเป็นงานที่ถูกต้องของผู้ตรวจ และถ้าจะเข้าใจระบบใหม่ในองค์กรกระจายอำนาจ ให้เก็บ input จาก stakeholder ก่อน

วัฒนธรรม tone at the top และ control environment#

องค์ประกอบสุดท้ายคือวัฒนธรรม organizational culture (วัฒนธรรมองค์กร — ค่านิยม ความเชื่อ พฤติกรรมที่หล่อหลอมวิธีทำงาน) กระทบ control environment โดยตรง จุดที่ต้องแยกให้ขาดคือ อะไรเป็นองค์ประกอบของ control environment จริงๆ กับอะไรเป็นแค่วัฒนธรรม

⚠️ กับดัก: “integrity and ethical values” (คุณธรรมและค่านิยมทางจริยธรรม) เป็นองค์ประกอบของ control environment ส่วน “social capital”, “symbols and language” (สัญลักษณ์และภาษา), “learning and development” เป็น culture ล้วนๆ — ข้อสอบชอบเอาตัวหลังมาปลอมเป็นองค์ประกอบของ control environment ถ้าถามว่าอันไหนเป็นส่วนของ control environment คำตอบคือ integrity and ethical values

⚠️ กับดัก: เมื่อค่านิยมที่ประกาศไว้ ไม่ตรงกับพฤติกรรมจริง คำตอบคือให้ผู้นำ ทำให้ดูอย่างเห็นได้ชัดtone at the top (การวางตัวอย่างจากระดับบน) ตัวหลอกจะยื่น “ร่าง code of conduct ใหม่”, “อบรมจริยธรรมเพิ่ม”, “เพิ่มช่องทางสื่อสาร”, “ทำ survey” — เอกสาร อบรม สื่อสาร และแบบสำรวจ แพ้ให้การที่ผู้นำทำให้ดูเป็นแบบอย่างเสมอ เมื่อมีทั้งคู่ในตัวเลือก

⚠️ กับดัก: เมื่ออาการคือ ทางลัด/ขัดแย้ง/noncompliance ให้แก้ที่ ต้นเหตุเชิงวัฒนธรรม — อบรมที่ปรับให้เข้ากับวัฒนธรรมนั้น, workshop แก้ความขัดแย้ง/team-building, หรือถ่วงดุลความคาดหวังให้สมจริง + เสริมมาตรฐานจริยธรรม ตัดพวก “โทษหนักขึ้น”, “ลงวินัยทันที”, “control เข้มขึ้น/ลด control”, “เปลี่ยนตัวผู้นำ” ทิ้ง เพราะมันลงโทษที่อาการ ไม่แตะวัฒนธรรม / และวิธี ประเมิน วัฒนธรรมคือ survey/interview, metrics เชิงปริมาณ, หรือ procedure ตรวจที่ปรับตามวัฒนธรรม ไม่ใช่แนวตรวจ one-size-fits-all หรือโฟกัส compliance การเงินอย่างเดียว

กติกาเหล็ก — ใครเป็นเจ้าของความเสี่ยง#

ปิดท้ายด้วยกติกาที่ข้อสอบ CIA รักที่จะถามซ้ำ ไม่ว่าจะห่อด้วยบริบทไหนก็เถอะ — จับกริยาให้ตรงกับเจ้าของ

  • ฝ่ายบริหาร (management): เป็นเจ้าของ ความเสี่ยง — implement, ทำให้กระบวนการทำงานได้, ตัดสินใจเรื่อง response, ตั้ง risk appetite
  • สภา (board): กำกับดูแล (oversee) — ดูให้แน่ใจว่ากระบวนการ risk management มีอยู่ เพียงพอ และได้ผล
  • internal audit function (ผู้ตรวจสอบภายใน): ให้ความเชื่อมั่นและให้คำปรึกษา (assurance & advisory) — ประเมิน examine รายงาน แนะนำการปรับปรุง แต่ ห้ามเป็นเจ้าของ

⚠️ กับดัก: ข้อสอบชอบเอากิจกรรมของ management/board มาแต่งตัวเป็นงานของ internal audit หรือ CAE — “oversee การจัดตั้ง/บริหารกระบวนการความเสี่ยง”, “ตัดสินใจเรื่อง response”, “ตั้ง/กำหนด risk appetite”, “ทำให้กระบวนการทำงานได้” — ทั้งหมดนี้ทำลายความเป็นอิสระ (independence) และความเที่ยงธรรม (objectivity) ของผู้ตรวจ ตัดทิ้ง / และการจัดลำดับความเสี่ยง (risk ranking) มอบหมายให้ IA ไม่ได้ เพราะเป็นหน้าที่ของ management/board ที่มอบต่อไม่ได้ มุมกลับ: ถ้าถามว่า “บทบาทที่ IA ควร รับ” หรือ “ข้อยกเว้น” คำตอบที่ถูกคือตัวที่มีกริยานุ่ม — recommend/evaluate — ส่วน oversee/manage/ตั้ง appetite กลายเป็นตัวที่ต้องตัด

⚠️ กับดัก: เจอ gap หรือช่องโหว่ อย่าลงมือเดี่ยว — ประเมินและหารือก่อน ตัวหลอกจะเป็น “immediately” + กริยารุนแรง (หยุด operation, รื้อทั้งระบบ, เปลี่ยน framework เอง) หรือกระโดดไปหา external auditor/regulator ทันที คำตอบจริง: ถ้า ไม่มีกระบวนการความเสี่ยงทางการ → CAE หารืออย่างเป็นทางการ กับฝ่ายบริหารและสภาเรื่องภาระหน้าที่ (IA สร้างเองไม่ได้) / framework ล้าสมัย → หารือความเหมาะสมกับ CAE ก่อนเปลี่ยน / เจอช่องโหว่ใหม่ → ทำ risk assessment ประเมินขนาดก่อนแนะนำ

⚠️ กับดัก: เมื่อ ประเมินกระบวนการ risk management ให้เล็งว่า “ความเสี่ยงสำคัญถูกระบุไหม และ control ลดมันลงภายใน risk appetite/tolerance ไหม” ไม่ใช่นับจำนวน (จำนวนความเสี่ยงที่บันทึก, ความถี่ประชุม, จำนวนคนที่มีหน้าที่, % ที่อบรม) หรือของข้างเคียง (งบประมาณ, วงเงินประกัน) — ตัวนับพวกนั้นวัด กิจกรรม ไม่ใช่ ประสิทธิผล และเมื่อมีสองตัวเลือกที่ดีทั้งคู่ ให้เลือก ชุดที่ครบสมบูรณ์กว่า (วัตถุประสงค์หนุนพันธกิจ + ความเสี่ยงถูกระบุ + response สอดคล้อง appetite + สื่อสารข้อมูลทันเวลา)

มุมเถ้าแก่: เถ้าแก่ยังเป็นเจ้าของร้านและเป็นคนตัดสินใจว่าจะรับความเสี่ยงก้อนไหน ผู้ตรวจที่แกจ้างมาไม่ได้มาตัดสินใจแทน แต่มาบอกว่า “ระบบเฝ้าระวังที่แกวางไว้ มันทำงานจริงตามที่คิดไหม”

มุมผู้ตรวจ (คนสอบ): ก่อนตอบทุกข้อเรื่องบทบาท ให้แมปกริยากับตัวแสดงก่อน — owns/implements/decides/sets appetite = management · oversees = board · evaluates/recommends/assures = internal audit ถ้าตัวเลือกให้ IA ไปทำงานสามคำแรก = ตัดทิ้ง (เว้นแต่โจทย์ถามแบบ “except”)

ตารางกับดักรวม#

สถานการณ์คำตอบหลอกคำตอบจริง
รวบรวมความเสี่ยงทั้งหมดที่กระทบกลยุทธ์risk assessmentrisk and control matrix
ความเสี่ยงในสภาพไม่มีการกระทำของฝ่ายบริหารresidual riskinherent risk
ความเสี่ยงหลังฝ่ายบริหารลงมือแล้วinherent riskactual residual risk
ความเสี่ยงวัดจากอะไรfinancial loss / safety อย่างเดียวprobability และ impact
finding แล้วถามหา “ความเสี่ยง”improved/enhanced/corrected (ข่าวดี)สิ่งที่พังได้ ในโดเมนเดียวกับ finding
finding data access ก่อความเสี่ยงอะไรsystem downtime / งบการเงินเข้าถึงข้อมูลลูกค้าโดยไม่ได้รับอนุญาต
เจอ gap มาตรฐาน เทียบกับอะไรนโยบายภายใน / ประสบการณ์ผู้ตรวจ / ข้อมูลอดีตมาตรฐานภายนอกเฉพาะอุตสาหกรรม (ISO/PCI-DSS)
ข้อมูลบัตรเครดิตธนาคาร ใช้มาตรฐานไหนCOSO ERM ทั่วไปPCI-DSS
จัดการ gap มาตรฐานยังไงตรวจครั้งเดียวจบ / รอ audit รอบหน้า / หยุดกิจกรรมฝังเข้ารอบงานประจำ + monitor ต่อเนื่อง
ทบทวน Topical Requirement บ่อยแค่ไหนทุก 5 ปี / เฉพาะเปลี่ยนแปลงใหญ่สม่ำเสมอ ตามที่ออกมา
ความเสี่ยง emerging รับมือยังไงทบทวนเหตุการณ์ในอดีต / ตรวจแบบเดิมถี่ขึ้นมองไปข้างหน้า + เล็งเป้าเฉพาะ (real-time/engage ผู้บริหาร)
ระบบใหม่ (telemedicine/EHR) เสี่ยงอะไรรีวิวประสิทธิภาพทั่วไป / ทุกแผนกcontrol เฉพาะระบบนั้น (encryption/cyber)
เจอภัยคุกคามเฉพาะ ทำอะไรก่อนตั้งรหัสแข็งขึ้น / อัปเกรด firewallทำ risk assessment เจาะจงก่อน
องค์กรยังไม่มีกระบวนการความเสี่ยงใช้เทคนิคขั้นสูง (Monte Carlo/scenario)สร้าง risk register
ทรัพยากรจำกัด จัดลำดับด้วยอะไรMonte Carlo / heat mapPareto (vital few)
ปัจจัยในผสมนอก / มององค์รวมPESTELSWOT
ภัยคุกคามภายนอกมหภาคSWOTPESTEL
control ของโครงสร้าง IT เฉพาะPESTEL / Monte CarloITGC testing
การเปลี่ยนแปลงก่อความเสี่ยงอะไรefficiency/visibility ดีขึ้น (ข่าวดี)สิ่งที่พังได้ (migration error/breach)
เปลี่ยนแปลงแล้ว ผู้ตรวจทำอะไรก่อนpen-test/อบรม/รื้อ/ระงับassess/ระบุพื้นที่เสี่ยงสูง/อัปเดต risk register
restructuring ทำ turnover เสี่ยงอะไรขวัญตก / นัดหยุดงาน / ต้นทุนเงินเดือนสูญเสียความรู้ในองค์กร → error/control อ่อน
งาน remote/hybrid ความเสี่ยงหลักphysical security / บังคับกลับออฟฟิศIT/cyber security (VPN/encryption/endpoint)
decentralized ไม่สม่ำเสมอ (ไม่ล้มเหลว)ดึงอำนาจกลับส่วนกลาง / ตรวจถี่ขึ้นguideline + training ที่รักษาความเป็นอิสระ
flat hierarchy หน้าที่สับสนเพิ่มชั้นบริหาร / segregation เพื่อ eliminateนิยามบทบาท + accountability ให้ชัด
ผู้ตรวจควรทำอะไรกับ control failureimplement ERP เอง / ตรวจถี่ขึ้นเสนอแนะ ประเมิน (พัฒนา procedure ถ้าวิธีตรวจไม่พอ)
องค์ประกอบของ control environmentsocial capital / symbols / learningintegrity and ethical values
ค่านิยมประกาศไม่ตรงพฤติกรรม แก้ยังไงcode ใหม่ / อบรม / surveytone at the top (ผู้นำทำให้ดู)
อาการทางลัด/ขัดแย้ง แก้ยังไงโทษหนักขึ้น / ลงวินัย / เปลี่ยนผู้นำแก้ต้นเหตุวัฒนธรรม (workshop/training ที่ปรับตาม)
บทบาท IA ใน risk managementoversee / ตั้ง appetite / เป็นเจ้าของให้ความเชื่อมั่น + แนะนำการปรับปรุง
ประเมินกระบวนการ RM ดูอะไรนับจำนวน/ความถี่/งบ/% อบรมความเสี่ยงถูกระบุ + control ลดภายใน appetite

สิ่งที่จดสำหรับวันสอบ#

  • matrix = ของ (รายการความเสี่ยง) · assessment = กระบวนการ (ตัดสินความสำคัญ) — อย่าสลับ
  • inherent = ยังไม่ทำอะไร · residual = ทำแล้วเหลือ — จับวลี “in the absence” กับ “after management acts”
  • risk = probability × impact เสมอ — แกนเดียว (loss/safety) = ตัวหลอก
  • ถามหา “ความเสี่ยง” = ตัดข่าวดี (improved/enhanced) ทิ้ง และเลือกให้อยู่โดเมนเดียวกับ finding
  • Topical Requirements: ชี้ออกนอก (มาตรฐานเฉพาะอุตสาหกรรม) + ฝังเข้ารอบงาน — อย่ายึดของภายใน อย่ารอ อย่าหยุด · ทบทวน “สม่ำเสมอ ตามที่ออกมา”
  • emerging risk = มองข้างหน้า + เล็งตรงเป้า และ ประเมินก่อน ค่อยแก้ เสมอ
  • เลือกเครื่องมือตามคำใบ้: ทรัพยากรจำกัด→Pareto · ในผสมนอก→SWOT · นอกมหภาค→PESTEL · IT เฉพาะ→ITGC · ยังไม่มีกระบวนการ→risk register · Monte Carlo มักคือตัวตัดทิ้ง
  • เปลี่ยนแปลงแล้วประเมินก่อนลงมือ · turnover = ความรู้หาย/control อ่อน ไม่ใช่ขวัญกำลังใจ
  • remote/hybrid = IT security · decentralized ไม่สม่ำเสมอ = วางแนวทางร่วม (เว้นแต่ control ล้มเหลว → centralize) · flat = นิยามบทบาท ไม่ใช่เพิ่มชั้น
  • tone at the top ชนะเอกสาร/อบรม/survey เมื่อค่านิยมไม่ตรงพฤติกรรม · integrity & ethical values = control environment ส่วน symbols/language = culture
  • จับกริยาให้ตรงเจ้าของ: owns/decides/sets appetite = management · oversees = board · evaluates/recommends/assures = internal audit — IA ห้ามเป็นเจ้าของ ห้ามรับ ranking มาทำ
  • Standard number (เช่น Standard 13.2, 13.3) อ้างได้ แต่จำ เจตนา ไม่ต้องท่องเลข

วางแผนภารกิจครบแล้ว ก่อนลงพื้นที่จริงยังมี “ของ” อีกสองสามชิ้นที่ต้องจัดลงกระเป๋าก่อน ตอนหน้าเปิดกระเป๋าใบแรก — ความรู้ IT ระดับผู้ตรวจ (ไม่ใช่ระดับ engineer) batch vs online, audit trail, ITGC กับ application control และ control frameworks ที่ข้อสอบชอบสลับป้าย ตอนถัดไป: กระเป๋าความรู้ IT

อ้างอิง: Gleim CIA Review (2026), Part 2 · IIA Global Internal Audit Standards (2024)