1519 คำ
8 นาที
CIA Series ตอนที่ 25 : P2 - วงจรธุรกิจ: ขาย-ซื้อ-จ่ายเงินเดือน
สารบัญ

ลองคิดดูนะ เงินของเถ้าแก่มันไม่ได้นอนนิ่งอยู่ในลิ้นชัก มันไหลเป็นวง ออกไปซื้อของมาขาย ขายแล้วกลายเป็นลูกหนี้ ลูกหนี้จ่ายกลับมาเป็นเงินสด เงินสดก้อนนั้นก็ไหลออกไปจ่ายเจ้าหนี้กับจ่ายเงินเดือนพนักงาน แล้วก็วนใหม่อีกรอบ ทุกวัน ทุกสัปดาห์ ไม่มีหยุด

ทีนี้ท่อน้ำที่ไหลตลอดเวลาแบบนี้ ถ้ามันจะรั่ว มันจะรั่วตรงไหน คำตอบคือ มันรั่วตรงข้อต่อเสมอ — จุดที่ของหรือเงินเปลี่ยนมือจากแผนกนึงไปอีกแผนกนึง จุดที่คนคนเดียวได้จับทั้งของและปากกาที่ลงบัญชี เถ้าแก่ที่นอนไม่หลับเนี่ย เขาไม่ได้กลัวยอดขายตกหรอก เขากลัว “เงินหล่นหายระหว่างทางวงจร แล้วบัญชียังดูสวยอยู่เหมือนเดิม” ต่างหาก

ตอนที่แล้วเราเอาตัวเลขในงบมาตีความเป็นการวัดผลงานกันครับ (ตอนที่ 24) อัตราส่วนสี่หมวด จุด pivot 1.0, cash conversion cycle, ROI, balanced scorecard สี่มุมมอง, benchmarking แต่ละชนิด และ Pareto 80/20 — ทั้งหมดคือการอ่าน “ผล” ที่ปลายทาง ตอนนี้ย้อนกลับต้นทางว่า เงินที่กลายเป็นตัวเลขพวกนั้นมันไหลผ่านอะไรมาบ้าง เพราะถ้าจะรั่ว มันรั่วตรงข้อต่อของวงจรเสมอ

ตอนนี้ผมจะเดินไปตามวงจรทีละวง แต่ละวงจะดูสามอย่างเสมอ: ความเสี่ยงเด่นของวงนั้น, control ที่ต้องมี, และ คำถามแบบที่คนสอบเจอในข้อสอบ เพราะ Study Unit นี้อยู่ในหมวด engagement planning ของ Part 2 ซึ่งเป็นครึ่งหนึ่งของข้อสอบทั้ง Part เลย หัวใจคือ “วางแผน engagement ให้ประเมิน key risks และ controls ให้ถูก”

โครงของบท#

  • วงจร sales-receivables — cash-sales-receivables cycle, จุดที่การขโมยซ่อนตัว, และการแก้ที่ต้นเหตุแบบ preventive
  • วงจร purchases-payables — แยกคนสั่ง/คนรับ/คนบันทึก + three-way match ที่เป็นประตูจ่ายเงิน
  • วงจร payroll — สามหน้าที่ที่ห้ามซ้อน, ทำไม payroll ห้ามแตะเช็ค, และการจับ control ให้ตรงข้อบกพร่อง
  • กระบวนการอื่น (asset/compliance/CRM/ERP/SCM) — control แต่ละตัวมีบ้านของมัน หยิบผิดแผนก = ผิดทันที

เข็มทิศร่วมของทุกวงจร: authorize / record / custody#

ก่อนจะลงแต่ละวง ขอวางเข็มทิศตัวเดียวที่ใช้ได้ทั้งสามวงไว้ก่อน หัวใจของ internal control (การควบคุมภายใน) ในทุกวงจรคือการแยกหน้าที่ (segregation of duties) ไม่ให้คนเดียวคุมรายการทั้งเส้นได้ แบ่งเป็นสามหน้าที่: authorization (อนุมัติ), recording (บันทึก), custody (ถือครองทรัพย์สิน)

กติกาเดียวที่ต้องขึ้นใจ คนนึงถือได้แค่หน้าที่เดียว ถ้าใครขาคาบ สองในสามกล่อง ก็คือจุดอ่อน (weakness) และ control แบบนี้เอาชนะได้ทางเดียวคือ การสมรู้ร่วมคิด (collusion) ทีนี้พอกิจการมันเล็กจนแยกหน้าที่ครบไม่ไหว ก็ต้องมี compensating control อย่าง supervision หรือ owner involvement มาชดเชยเอา

เก็บเข็มทิศตัวนี้ไว้ในมือ แล้วเดินเข้าวงแรกกันเลย

วงจรที่หนึ่ง: sales-receivables — เงินเข้าครบไหม#

เริ่มที่ cash-sales-receivables cycle — วงจรที่เงินสดของกิจการหมุนกลับมาเป็นเงินสดอีกครั้ง มันเริ่มจากเงินที่มีอยู่ ไปเป็นการขาย (จะขายสด cash sale ที่ลูกค้าจ่ายทันที หรือขายเชื่อ credit sale ที่ตั้งเป็น accounts receivable แล้วรอเก็บทีหลังก็ได้) จบที่การเก็บเงินคืน แล้วก็วนใหม่ ความเสี่ยงเด่นของวงนี้คือ เงินขาดมือ, เก็บหนี้ไม่มีประสิทธิภาพ, และการยักยอกเงินสด

ในเส้นทางปกติ ฝ่ายขายรับ order ทำใบสั่งขาย ฝ่าย Credit ตรวจเครดิตแล้วอนุมัติ (นี่คือ authorization) คลังหยิบของ ฝ่ายจัดส่งส่ง ฝ่าย Billing ทำ invoice จากของที่ส่งจริง แล้วฝ่าย AR ก็ลงบัญชีลูกหนี้ ส่วนฝั่งเงินเข้า ห้องรับจดหมายเปิดซองโดยมีสองคนอยู่ด้วยเสมอ ประทับตราเช็ค “For Deposit Only” แล้วแยกเงินกับใบแจ้งเดินคนละทาง

มุมเถ้าแก่: ดีไซน์ที่สวยของวงนี้คือ แคชเชียร์ (custody) ห้ามแตะสมุดบัญชีลูกหนี้ (AR subsidiary ledger) เด็ดขาด หน้าที่ของคนถือเงินคือรับ, สลักหลังเช็ค, ทำใบฝาก, เอาเข้าธนาคาร จบแค่นั้น ส่วนอีกทางเลือกที่เจ้าของหลายรายชอบคือ lockbox ให้ลูกค้าส่งเช็คไปตู้ ป.ณ. ของธนาคารตรงๆ เงินไม่ผ่านมือพนักงานในออฟฟิศเลยสักนิด

มุมคนสอบ: ข้อสอบวงนี้ชอบให้ตารางมาว่าใครทำอะไร แล้วถามว่า “อันไหนคือ weakness” วิธีทำคือจับทุกคนยัดลงกล่อง authorize / record / custody ก่อน แล้วค่อยมองหาคนขาสองกล่อง

⚠️ กับดัก — จุดอ่อนอยู่ตรง custody เจอ recording: ตัวหลอกร้ายที่สุดคือเอาจุดแข็งมาวางให้ดูน่าสงสัย เช่น “ผู้ตรวจ confirm ยอดลูกหนี้เป็นระยะ”, “แคชเชียร์ถูกกันไม่ให้เข้าถึง record”, “AR ส่งใบแจ้งยอดให้ลูกค้าทุกเดือน” พวกนี้คือ strength ทั้งนั้น ไม่ใช่ weakness ตัวที่เป็น weakness จริงคือคนที่ขาสองกล่อง เช่น เสมียน AR อนุมัติรับคืนสินค้าเองแล้วก็รับเงินจากลูกค้าด้วย (custody + authorization), หรือ ผู้จัดการ AR ตัดหนี้สูญเองแล้วลงบัญชีเอง (authorization + recording), หรือ แคชเชียร์โพสต์ยอดรับเข้า AR ledger (custody ไปแตะ recording) แล้วก็ระวังตัวหลอก “มี limited supervision” ที่ยื่นมาเป็นยาแก้ให้กับคนที่คาบสองกล่องอยู่แล้ว เพราะการตรวจครั้งคราวมันไม่ได้ซ่อมการแยกหน้าที่ที่หายไปเลย

⚠️ กับดักมุมกลับ: ทีนี้ถ้าโจทย์พลิกเป็น “แคชเชียร์ ไม่ควร ทำอะไร” คำตอบก็คือ การโพสต์เข้า AR subsidiary ledger (นั่นคือ recording ที่ custody ห้ามแตะ) ส่วนการสลักหลังเช็ค, การเอาเข้าธนาคาร, การทำใบฝาก อันนี้เป็นหน้าที่ custody ที่ถูกต้องหมด

ทีนี้เจาะเข้าจุดที่ข้อสอบชอบเป็นพิเศษเลย: เมื่อ custody + authorization + recording มารวมในคนเดียว การขโมยมันจะซ่อนตัวยังไง

⚠️ กับดัก — การขโมยเงินซ่อนในบัญชีลดหนี้: เมื่อคนคนเดียวคุมทั้งเก็บเงิน อนุมัติ และลงบัญชี วิธีตรวจจับการยักยอกไม่ใช่การส่ง confirmation (positive/negative) ไปหาลูกค้า เพราะยอดในบัญชีลูกค้ามันตรงกับที่ลูกค้าคาดไว้อยู่แล้ว confirmation จะไม่เจออะไรเลย และก็ไม่ใช่การไล่ deposit จากธนาคารกลับไปที่สมุดเงินสด เพราะมันก็ตรงกันอีก (เงินที่ถูกขโมยมันไม่เคยถูกบันทึกตั้งแต่แรก) ที่ต้องดูจริงๆ คือ debit ในบัญชี sales returns, discounts และบัญชีลดหนี้อื่นๆ เพราะนั่นแหละคือช่องที่ใช้กลบร่องรอย

⚠️ กับดัก — control account ไม่ตรง subsidiary: ถ้ายอด control account ต่างจากผลรวมของ subsidiary อย่างมีนัยสำคัญ ให้สงสัย credit memoranda ที่ไม่ได้รับอนุมัติ (unauthorized) ไว้ก่อน อย่าไปตอบ “lapping” (การเอาเงินที่รับใหม่ไปกลบยอดที่ขโมยไป) เพราะ lapping มันหักลบกันจนยอดยัง balance อยู่ ไม่ทำให้เกิดส่วนต่างแบบนี้ ทีนี้พอกิจการเล็กจนแยกหน้าที่ไม่ได้จริงๆ (เช่น คนเดียวทำทั้งวางบิลและรับเงิน) ยาที่ใช้ได้คือ บังคับให้ลาพักร้อน (mandatory vacation) หรือ ให้หัวหน้ารีวิวอิสระ เพื่อให้คนที่สองมาสะดุดเจอความผิดปกติ ส่วนตัวหลอกอย่างเพิ่มเอกสาร, อบรมจริยธรรม, เปลี่ยนไปจ่ายทาง electronic พวกนี้ไม่ได้ทลายการปกปิดเลยสักอย่าง

⚠️ กับดัก — completeness ต้องแก้ที่ต้นเหตุ ไม่ใช่ปะแผล: ถ้าปัญหาคือเอกสารหาย / ของส่งแล้วไม่ได้วางบิล (เรื่อง completeness คือความครบถ้วนว่าทุก shipment ถูกวางบิล) ทางแก้คือ ทำ sales order / invoice / เอกสารส่งของให้เลขรันต่อเนื่อง (sequentially numbered) แล้วให้คนอิสระไล่นับว่าเลขไม่ขาด ตัวหลอกคือ detective ทั้งหลาย ไม่ว่าจะ bank reconciliation, การไล่ deposit, checklist รายสัปดาห์, หรือเพิ่มคน พวกนี้มันเจอทีหลัง ไม่ได้ปิดช่องที่ต้นทางเลย และถ้าโจทย์เป็นเรื่องช่องว่างเชิงระบบ เช่น “ฝ่ายจัดส่งไม่แจ้งฝ่ายวางบิลว่าส่งของแล้ว” คำตอบคือ system alert ที่ยิงตอนของออก (preventive อัตโนมัติ) ไม่ใช่การตามแก้ด้วยมือ

⚠️ กับดัก — อาการต้องแมตช์ต้นเหตุจริง: ระวังตัวหลอกที่ “ฟังดูใช่แต่ไม่ใช่ตัวขับหลัก” ถ้า AR โตเร็วกว่ายอดขาย ให้ไปดู กระบวนการเก็บหนี้ (collection procedures) ก่อน ไม่ใช่ไปโทษ revenue recognition หรือเงื่อนไขเครดิตที่หลวม; ถ้ามี AR ค้างนานเยอะ ให้จูงใจด้วย ส่วนลดจ่ายเร็ว (early-payment discount); ถ้า เก็บเงินช้าซ้ำๆ ให้ดูประสิทธิภาพของระบบติดตาม AR; และถ้าต้องการเก็บเงินเข้าทันที lockbox ชนะการไล่ deposit ย้อนหลังเสมอ

วงจรที่สอง: purchases-payables — จ่ายเงินออกให้ถูก#

พลิกกลับมาฝั่งเงินออกบ้าง วงนี้เริ่มจากรู้ว่าต้องซื้ออะไร → สั่งซื้อ → รับของ → รับ invoice → บันทึกเป็น accounts payable → จ่าย ความเสี่ยงเด่นคือ จ่ายเงินให้ของที่ไม่ได้สั่ง, จ่ายให้ vendor ปลอม, จ่ายซ้ำ, และการทุจริตในสายจัดซื้อ

โครงสร้างในอุดมคติก็แยกสามหน้าที่เหมือนเดิม โดยมีจุดสำคัญคือ คนสั่งซื้อ (Purchasing = authorize) กับคนรับของ (Receiving = custody) ต้องเป็นอิสระต่อกันในเชิงองค์กร และการเริ่มขอซื้อ (initiation) เป็นของแผนกที่รู้ความต้องการจริง คือ Inventory Control ไม่ใช่ Purchasing ที่มีหน้าที่แค่ออก order ตามที่ได้รับอนุมัติ

มุมเถ้าแก่: ลองคิดดูนะ ถ้าปล่อยให้คนสั่งซื้อได้เป็นคนรับของเองด้วย มือเดียวมันเปิดช่องได้ทั้งสั่งของปลอม รับของปลอม แล้วดันเอกสารให้จ่าย เงินไหลออกไปโดยไม่มีใครทัดทานสักคน การแยก Purchasing ออกจาก Receiving เนี่ยคือ control ที่ราคาถูกแต่กันการโกงสายจัดซื้อได้ตรงจุดเลย

มุมคนสอบ: เหมือนวงแรก — จับทุกคนลงกล่อง authorize / custody / record แล้วหาคนขาสองกล่อง

⚠️ กับดัก — สั่ง/รับ/บันทึก ต้องแยกมือ: ตัวหลอกที่เนียนมากคือ “receiving report ถูกส่งไปที่ Purchasing เพื่อจับคู่กับ PO” ฟังดูมีประสิทธิภาพดี แต่มันทำให้คนสั่งซื้อได้เป็นคนแรกที่แตะ receiving report เปิดทางปกปิดได้ นี่แหละคือ weakness ที่ต้องชี้ อีกตัวคือ พนักงานคลัง (custody) ได้อำนาจอนุมัติทิ้งของเสียหายเอง ดูเหมือนสะดวกดี แต่จริงๆ คือการรวม custody + authorization = violation

⚠️ กับดักมุมกลับ: ทีนี้ถ้าโจทย์ถาม “อันไหนเป็น strength / อันไหน ไม่ละเมิด การแยกหน้าที่” คำตอบก็คือคู่ที่แยกสามหน้าที่สะอาด เช่น ฝ่ายบัญชีเป็นคนแมตช์เอกสาร, CFO จ่ายจาก voucher ที่คนอื่นเตรียม แล้วก็ระวังตัวหลอกกลับด้าน เช่น “CFO มอบให้ผู้ช่วยเซ็นแทน” ที่ยื่นมาเป็น “violation” แต่จริงๆ มันยอมรับได้

ทีนี้ถึงพระเอกของวงนี้ ตัวที่ข้อสอบออกซ้ำที่สุดเลย: three-way match

⚠️ กับดัก — ไม่ครบสามใบ ห้ามจ่าย: voucher จะจ่ายได้ต่อเมื่อ invoice = purchase order = receiving report (บวก requisition) ตรงกันหมด ตัวหลอกคือชุดเอกสารไม่ครบ อย่าง “receiving report + invoice” หรือ “PO + invoice” ที่ดูเหมือนพอ แต่จริงๆ ตกใบไป ไม่พออนุมัติจ่าย อีกตัวหลอกคือ “เทียบจำนวนรับกับ packing slip” ที่รู้สึกเหมือนเป็น control แต่มันไม่พิสูจน์ว่าจำนวนที่สั่งไปมาครบ ต้องแมตช์กับ PO ถึงจะแน่น ส่วนการกันจ่ายซ้ำ ทำโดยประทับ/ทำลายเอกสารประกอบตอนออกเช็ค ไม่ให้เอาชุดเดิมมาเบิกอีกรอบ

⚠️ กับดัก — ทิศทางการทดสอบ: ถ้าจะพิสูจน์ว่าทุกเช็คมี voucher ที่อนุมัติแล้วรองรับ ต้องสุ่มจากเช็คไปหา voucher (โดย voucher ต้องลงวันที่ไม่ช้ากว่าเช็ค) ไม่ใช่ไล่ย้อนทางกลับ

⚠️ กับดัก — วางระบบกันไว้ ดีกว่าตรวจย้อนหลัง: เมื่อโจทย์ถาม “ควรแนะนำอะไร” ให้เลือก control แบบ preventive ที่ฝังในระบบ ไว้ก่อนเสมอ ตัวหลอกคือ “ทำ audit รายเดือน/รายปี” หรือ “ตั้งคณะรีวิวรายสัปดาห์” ซึ่งพวกนี้ retrospective มันเจอปัญหาหลังเงินออกไปแล้ว ตัวหลอกอีกกลุ่มคือ “เพิ่มคนในทีมการเงิน / outsource” (นั่นมันแรงงาน ไม่ใช่ control) และ “ทำ manual adjustment” (แก้อาการ ไม่แก้เหตุ) แล้วก็ต้องจับ control ให้ตรงความเสี่ยงที่ระบุเป๊ะๆ: กลัว vendor ปลอมapproved vendor list (ไม่ใช่ PO-invoice match); จ่ายช้าโดนค่าปรับ → ต้นเหตุคือ monitoring วันครบกำหนดไม่ดี ทางแก้คือ ระบบตั้งเวลาจ่ายอัตโนมัติ; กลัว ของขาดสต็อกperpetual inventory ไม่ใช่การ audit เป็นครั้งคราว

วงจรที่สาม: payroll — สามหน้าที่ที่ห้ามซ้อน#

payroll เริ่มตั้งแต่จ้างคนใหม่ (HR เก็บข้อมูล ตั้งอัตรา) → พนักงานบันทึกเวลา → คำนวณ gross pay → หัก deduction → จ่าย net pay → เก็บ record แล้วรายงานหน่วยงานรัฐ แล้วก็วนตามรอบ (รายสัปดาห์/รายเดือน) ความเสี่ยงเด่นที่ข้อสอบรักมากคือ พนักงานผี (ghost employee), จ่ายผิดอัตรา, และการยักยอกผ่านเช็คเงินเดือน

โครงสร้างที่ถูกคือแยกสามถัง:

  • HR/ฝ่ายบุคคล = authorization — เพิ่ม/ลบพนักงาน ตั้งอัตราและ deduction ทำที่นี่ที่เดียว
  • Payroll = recording — คำนวณเงินเดือน ทำ payroll register จากข้อมูลที่ HR อนุมัติและเวลาจาก Timekeeping
  • Treasurer/ฝ่ายจ่ายเงิน = custody — แจกและดูแลเช็ค โดยไม่มีหน้าที่บันทึกหรืออนุมัติ

มุมเถ้าแก่: พนักงานผีเนี่ยคือฝันร้ายที่เจ็บกระเป๋าตรงๆ เพราะเงินเดือนมันไหลออกทุกงวดให้ชื่อที่ไม่มีตัวตน กว่าจะรู้ตัวก็เสียไปหลายรอบแล้ว ดีไซน์ที่ปลอดภัยของเจ้าของคือให้ HR เป็นคนเดียวที่เพิ่ม/ลบชื่อและตั้งอัตรา ส่วน Payroll แค่คำนวณตามที่ได้รับมา การจะสร้างชื่อปลอมมันเลยต้องมีคนสองฝ่ายสมรู้กัน คนเดียวทำไม่สำเร็จ

มุมคนสอบ: ข้อสอบวงนี้ชอบเอาสองงานมามัดคู่กันแล้วถามว่า “คู่ไหนต้องแยก” วิธีทำก็เหมือนเดิม จับสองงานยัดลงถัง authorize / record / custody ถ้าอยู่ถังเดียวกันคือไม่ต้องแยก ถ้าข้ามถังคือ incompatible

⚠️ กับดัก — ซ้ำถังไม่ผิด ข้ามถังผิด: ตัวหลอกยอดฮิตคือเอาสองงานที่อยู่ถังเดียวกันมามัดรวมให้ดูน่ากลัว แต่จริงๆ ยอมรับได้ เช่น timekeeping + ลงรายการ payroll journal (ทั้งคู่ recording), การทำ payroll + เก็บ record ยอดสะสมทั้งปี (ทั้งคู่ recording), เตรียม payroll + ยื่นแบบภาษี (ทั้งคู่งานในฝ่าย payroll) คู่พวกนี้เอาชนะได้เฉพาะด้วย collusion เท่านั้น ไม่ต้องแยก ที่เป็น incompatible จริงคือคู่ที่ข้ามถัง: authorization + recording (อนุมัติชั่วโมง/บัตรลงเวลา แล้วทำ paycheck เอง) หรือ recording + custody (ทำ payroll แล้วแจก/เซ็นเช็คเอง)

⚠️ กับดักมุมกลับ: ทีนี้ถ้าโจทย์ถาม “คู่ไหน ไม่ใช่ violation / ไม่จำเป็นต้องแยก” คำตอบก็คือคู่ในถังเดียวกัน ส่วนคู่ข้ามถังกลายเป็นตัวหลอก และดีไซน์ที่ถือว่า “แยกได้ดีที่สุด” คือแบบที่การสร้างชื่อปลอมต้องอาศัยการสมรู้ข้ามแผนก เช่น HR เพิ่มพนักงานได้แต่ Payroll (ไม่ใช่ HR) เป็นคนใส่เลขบัญชีธนาคาร ghost employee ก็เลยต้องมีคนสองฝ่ายร่วมมือถึงจะสำเร็จ

⚠️ กับดัก — เงินเดือนทำบัญชี ห้ามแตะเช็ค: payroll เป็น recording function วินาทีที่มันไปแตะทรัพย์สิน (เซ็นเช็ค, แจกเช็ค, เก็บเช็คที่ไม่มีคนมารับ, ถือตรายางเซ็นเช็ค) มันกลายเป็น weakness ทันที ตัวหลอกที่ “ดูเรียบร้อย” แต่ผิดก็อย่างเช่น เสมียน payroll ถือตรายางเซ็นเช็ค, คนแจกเช็คเอาเช็คที่ไม่มีคนรับกลับไปคืนฝ่าย payroll (record + custody) และตัวหลอกคลาสสิกเลยคือ หัวหน้างานโดยตรงเป็นคนแจกเช็คให้ลูกน้อง ซึ่งมันเปิดช่องให้หัวหน้าที่ไม่ซื่อเก็บเช็คของคนที่ลาออก/พนักงานผีไว้เองได้ คนแจกเช็คมันเลยต้องเป็นอิสระทั้งจากฝ่าย payroll และจากแผนกที่พนักงานสังกัด ส่วนเช็คที่ไม่มีคนมารับกับการเซ็นเช็คต้องไปอยู่กับฝ่ายที่มี custody อย่างเดียวและไม่มีส่วนในการทำ paycheck คือ treasury / CFO / cashier

⚠️ กับดักมุมกลับ: ทีนี้ถ้าโจทย์ถามหา control strength คำตอบก็คือคนเซ็นเช็คที่เป็นอิสระ หรือบัญชี payroll แยกต่างหาก ส่วน option ที่ให้ payroll แตะ asset นั่นแหละคือตัวหลอก

⚠️ กับดัก — ยาต้องตรงโรค: พอเจอ “control ไหนตรวจเจอ/แก้ปัญหานี้” ต้องลากข้อบกพร่องเฉพาะไปหากลไกที่แตะมันจริงๆ อย่าง bank reconciliation กับการนับเงินสดแบบ surprise เนี่ย มันไม่จับปัญหาเรื่องอัตราจ่าย, จำนวนจ่าย, หรือพนักงานผีเลย เพราะมันเช็คแค่ยอดรวมเงินสด ไม่ได้เช็คข้อมูลจ่ายรายคน ให้จับคู่แบบนี้: จะพิสูจน์ว่าพนักงานได้เงินตามที่บันทึกในสมุดเทียบ canceled paycheck กับ payroll journal (ไม่ใช่ reconciliation ไม่ใช่การเช็ค SoD); จ่ายเกินไปหลายเดือนไม่มีใครเห็น → ขาด exception report ที่คอยจับ variance; edit/change listing จับได้แค่สิ่งที่เป็น การเปลี่ยนแปลงข้อมูล payroll เช่น อัตราพนักงานใหม่ผิด (ไม่ได้จับเรื่อง charge เข้าบัญชีผิดหรือ deduction ผิด); ชั่วโมงที่ลงไม่ตรงกับที่จ่าย → ดู ระบบ timekeeping/attendance; และเรื่องประสิทธิภาพ/ความไม่สม่ำเสมอข้ามหน่วยธุรกิจ → ตอบ automation / EFT / centralized processing ไม่ใช่การรีวิวด้วยมือรายสัปดาห์

วงจรที่สี่: กระบวนการอื่น — control มีบ้านของมัน#

ข้อสอบ P2 มันยังลากไปถึงกระบวนการนอกวงจรบัญชีคลาสสิกด้วย — asset management, compliance, CRM, ERP, SCM ตัวสกิลที่วัดคือ “ระบุ risk ของกระบวนการนั้น แล้วจับ control ที่ mitigate ได้” หลักคิดสำคัญมีข้อเดียว: control แต่ละตัวมีบ้าน (process family) ของมัน หยิบ control จากบ้านผิดมาตอบ = ผิดทันที ต่อให้มันเป็น control ที่ดีในบ้านของมันเองก็เถอะ

จำบ้านของแต่ละตัวไว้คร่าวๆ:

  • CRM — data input controls / reconciliation, discount & pricing approval thresholds, logging & monitoring การเข้าถึงระบบ
  • Asset management — asset register + depreciation, การรีวิว/อนุมัติการจำหน่ายทรัพย์สินอย่างเป็นทางการ
  • Compliance (second-line function คือหน้าที่ดูแลการปฏิบัติตามกฎ) — ระบุกฎเกณฑ์ที่กำลังจะมา, อบรมพนักงาน, คลังนโยบายรวมศูนย์
  • ERP — role-based access control, segregation of duties, exception/error report, change management, data governance
  • SCM — approved vendor list & due diligence, demand planning, perpetual inventory / cycle count, safety stock

มุมเถ้าแก่: พอกิจการมันโตข้ามวงจรบัญชีธรรมดาไป ความเสี่ยงก็กระจายไปทุกมุมเลย — asset หายไม่มีใครรู้, ทำผิดกฎโดนปรับ, ข้อมูลลูกค้ารั่ว, supplier เจ้าเดียวล้มแล้วสายพานหยุด การรู้ว่า “ปัญหานี้มันอยู่บ้านไหน” เนี่ยแหละที่ทำให้เจ้าของจ่ายเงินซื้อ control ให้ตรงจุด ไม่ใช่ซื้อของดีแต่ผิดแผนก

มุมคนสอบ: ขั้นแรกเสมอ ระบุก่อนว่าโจทย์พูดถึงกระบวนการไหน แล้วค่อยเก็บ option ที่ control (หรือ risk) เป็นของบ้านนั้น

⚠️ กับดัก — control ผิดแผนก: ตัวหลอกคือ control ที่ถูกต้องจริง แต่มันมาจากบ้านผิด เช่น เอา “data input controls & reconciliation” (บ้าน CRM) มาตอบโจทย์ SCM หรือ asset, เอา “approved vendor list” (บ้าน SCM) มาตอบ compliance, เอา “asset register” (บ้าน asset) มาตอบ SCM และตัวเนียนสุดเลยคือ “formalized change management” ที่รู้สึกเหมือนใช้ได้ทุกที่ แต่จริงๆ มันถูกแท็กเป็น control ของ ERP ที่วางมาล่อโจทย์ CRM/SCM ต่างหาก

⚠️ กับดัก — เจอสองปัญหา ต้องแก้ครบสอง: ถ้าโจทย์ list มา สอง finding คำตอบต้องแก้ทั้งคู่ control ต่อ finding และอยู่บ้านถูก ตัวหลอกคือคู่ที่แก้ได้แค่ข้อเดียว (อีกข้อไม่เกี่ยวหรือมาจากบ้านอื่น) เช่น ERP ที่มีทั้ง duplicate transaction + unauthorized access ต้องตอบ role-based access control + exception/error report (หรือ + SoD); CRM ที่มี unauthorized discount + เข้าถึงข้อมูลไม่เหมาะสมdiscount/pricing threshold + logging & monitoring; SCM ที่ supplier เจ๊ง + forecast ผิดapproved vendor list & due diligence + formalized demand planning และระวัง prevention vs detection ถ้าโจทย์อยากป้องกัน unauthorized disposal ตัว detective อย่าง GL reconciliation คือกับดัก

⚠️ กับดัก — เลือกแก้ต้นเหตุ ไม่ใช่ control ที่ถูกทั่วๆ ไป: เมื่อหลาย option เป็น control ที่ถูกของกระบวนการนั้นทั้งคู่ ให้เลือกตัวที่ยิงตรงต้นเหตุที่โจทย์ชี้ ปัญหาพนักงานสับสนว่ากฎไหนใช้กับตนอบรมและสื่อสารต่อเนื่อง ไม่ใช่ compliance risk assessment methodology; ปัญหาการจำหน่ายทรัพย์สินโดยไม่ได้อนุมัติการรีวิว/อนุมัติการจำหน่ายอย่างเป็นทางการ (preventive) ไม่ใช่ GL reconciliation (detective); และระวังโจทย์สลับนิยาม โดย compliance คือ second-line, procurement คือ การจัดหา (acquisition), ส่วน TPM (third-party management) คือ การกำกับดูแล vendor ต่อเนื่องผ่านกระบวนการ procurement

ตารางกับดักรวม#

สถานการณ์ในโจทย์คำตอบหลอกคำตอบจริง
แคชเชียร์ทำอะไรได้บ้าง (custody)โพสต์เข้า AR ledger ก็ได้ห้ามแตะ AR ledger — ทำได้แค่รับ/ฝาก/ทำใบฝาก
ผู้ตรวจ confirm ยอด, แคชเชียร์ถูกกันจาก recordดูน่าสงสัย = weaknessเป็น strength ไม่ใช่ weakness
จับการยักยอกเมื่อคนเดียวคุมครบส่ง confirmation / ไล่ depositไล่ดู debit ใน returns/discounts
control account ≠ subsidiary totallappingcredit memoranda ที่ไม่ได้อนุมัติ
แยกหน้าที่ไม่ได้ กิจการเล็กเพิ่มเอกสาร / อบรมจริยธรรมmandatory vacation / รีวิวอิสระ
ของส่งแล้วไม่ได้วางบิล (completeness)bank rec / เพิ่มคน (detective)เลขรันต่อเนื่อง + คนอิสระไล่นับ
AR โตเร็วกว่ายอดขายโทษ revenue recognitionไปดู collection procedures ก่อน
receiving report ส่งไป Purchasing จับคู่ POมีประสิทธิภาพดีweakness — Purchasing/Receiving ต้องแยก
เอกสารก่อนจ่ายเช็คPO + invoice ก็พอครบ three-way match (+ requisition)
จะพิสูจน์ทุกเช็คมี voucherสุ่มจาก voucher ไปหาเช็คสุ่มจากเช็คไปหา voucher
กลัวจ่าย vendor ปลอมthree-way matchapproved vendor list
timekeeping + payroll journalดูกุมอำนาจ = violationทั้งคู่ recording = ไม่ผิด
หัวหน้างานแจกเช็คเงินเดือนสะดวก ใกล้ชิดลูกน้องคนแจกต้องอิสระจาก payroll + แผนกลูกน้อง
พิสูจน์พนักงานได้เงินตามบันทึกbank reconciliation / เช็ค SoDเทียบ canceled check กับ payroll journal
control ของ ERP มาตอบโจทย์ CRM/SCMchange management ใช้ได้ทุกที่หยิบ control จากบ้านของกระบวนการนั้น
โจทย์ list สอง findingคู่ที่แก้ได้ข้อเดียวcontrol ต้องครอบทั้งสอง finding

สิ่งที่จดสำหรับวันสอบ#

  • ทุกวงจรใช้เข็มทิศเดียว: authorize / record / custody — คนเดียวคาบสองกล่อง = weakness, สองงานกล่องเดียวกัน = ยอมรับได้ (แพ้เฉพาะ collusion)
  • sales-receivables: custody (แคชเชียร์) ห้ามแตะ AR ledger; การขโมยซ่อนใน debit ของ returns/discounts ไม่ใช่ที่ deposit; ยอด control ≠ subsidiary → สงสัย credit memo ปลอม ไม่ใช่ lapping
  • แยกหน้าที่ไม่ได้ → mandatory vacation / รีวิวอิสระ completeness → เลขรันต่อเนื่อง + คนอิสระไล่นับ
  • purchases-payables: Purchasing (สั่ง) กับ Receiving (รับ) ต้องแยก; จ่ายได้ต่อเมื่อ three-way match (invoice = PO = receiving report, + requisition); กันจ่ายซ้ำด้วยการทำลายเอกสารตอนออกเช็ค; ทดสอบโดยสุ่มจากเช็คไปหา voucher
  • แนะนำ control = เลือก preventive ในระบบ ชนะ audit ย้อนหลัง/เพิ่มคน/แก้มือ และต้องตรงความเสี่ยงที่ระบุ
  • payroll: HR อนุมัติ, Payroll บันทึก, Treasurer แจกเช็ค; payroll ห้ามแตะเช็ค/ตรายาง/เช็คค้าง; หัวหน้างานแจกเช็ค = กับดัก; ghost employee กันด้วยการบังคับ collusion ข้ามแผนก
  • ยาต้องตรงโรค: พิสูจน์เงินถึงมือ → เทียบ canceled check กับ payroll journal ไม่ใช่ bank rec
  • กระบวนการอื่น: ระบุบ้าน (CRM/asset/compliance/ERP/SCM) ก่อนเลือก control; control ถูกแต่ผิดบ้าน = ผิด; เจอสอง finding ต้องแก้ครบสอง; เลือกแก้ต้นเหตุ ไม่ใช่ control ที่ถูกทั่วไป
  • อยากเห็นว่าแต่ละแผนกในองค์กรแยกหน้าที่กันยังไง ดูได้ที่ องค์กรแยกส่วนกันยังไง

รู้จักวงจรและจุดรั่วแล้ว ก็กลับเข้าสู่สายการวางแผนภารกิจต่อครับ ตอนหน้าว่าด้วยการจัดทีมและทรัพยากร — เลือกคนให้ทักษะตรงงาน แยก sufficient กับ appropriate จัดงบ และกฎเจอทรัพยากรไม่พอที่ต้อง escalate ไม่ใช่เงียบ ตอนถัดไป: จัดทีมและทรัพยากรของภารกิจ

อ้างอิง: Gleim CIA Review (2026), Part 2 · IIA Global Internal Audit Standards (2024)