1151 คำ
6 นาที
CIA Series ตอนที่ 29 : P2 - ลงพื้นที่ II: ถามให้ได้ความจริง
สารบัญ
โครงของบท Questionnaire: เป็นแค่คำบอกเล่า ไม่ใช่ข้อพิสูจน์ จุดอ่อนตัวจริง: แข็งทื่อ มองแคบ ออกแบบให้ถูก: สั้น ไม่ระบุชื่อ “no” เป็นธง ส่วนตัวไว้ท้าย Self-assessment survey: CSA ที่คนหน้างานประเมินตัวเอง สี่รูปแบบ workshop: จับที่เป้าหมาย ไม่ใช่จับที่บรรยากาศ สามแนวทาง CFA… เอ๊ย สาม CSA จริง กับตัวปลอมตัวที่สี่ Interview: ได้เบาะแส ไม่ใช่ข้อพิสูจน์ รับมือคนที่กำลังตั้งการ์ด: ทำให้สบายใจ อย่าต้อนเข้ามุม Active listening: ฟังจริง พักการตัดสิน วิธีเก็บข้อมูลอื่นๆ: Observation กับพวกพ้อง Observation: แข็งเรื่องเกิดขึ้นจริง อ่อนเรื่องครบถ้วน เลือกเครื่องมือให้ตรงกับข้อมูล: survey vs interview vs rating scale ตารางกับดักรวม สิ่งที่จดสำหรับวันสอบ

ลองนึกภาพผู้ตรวจเดินเข้าไปในแผนกคลังของอาณาจักรเถ้าแก่ แล้วถามหัวหน้าคลังตรงๆ ว่า “ที่นี่นับของครบทุกครั้งใช่ไหมครับ” คำตอบที่ได้แทบจะเดาได้เลย — “ครบครับ ครบทุกครั้ง” ใครจะตอบว่าไม่ครบล่ะครับ ในเมื่อคำถามมันบอกคำตอบที่คนถามอยากได้ยินไว้ในตัวอยู่แล้ว ทีนี้ลองเปลี่ยนเป็นถามว่า “ช่วยเล่าให้ฟังหน่อยได้ไหมครับ ว่าพอของมาถึงท่าแล้วขั้นตอนต่อไปทำอะไรบ้าง” — คราวนี้แหละ พอเขาเล่าไปเรื่อยๆ ความจริงบางอย่างที่เขาไม่ได้ตั้งใจจะบอกก็หลุดออกมาเอง เช่น “ช่วงสิ้นเดือนของเยอะ ก็เซ็นรับไปก่อน เดี๋ยวค่อยนับ” — อ้าว นั่นแหละคือช่องโหว่ที่เราตามหา คำถามเดียวกันเรื่องเดียวกัน แต่วิธีถามต่างกัน ได้ความจริงคนละระดับเลยครับ

ตอนก่อนเราคุยเรื่องการลงพื้นที่เก็บหลักฐานภาพรวมไปแล้ว ตอนนี้ขอซูมเข้าไปที่เครื่องมือ “ถาม” โดยเฉพาะ — แบบสอบถามใช้ยังไงถึงไม่โดนหลอก สัมภาษณ์ยังไงให้คนยอมเล่า แล้วข้อสอบมันเอาชื่อวิธีเก็บข้อมูลพวกนี้มาสลับหลอกยังไงบ้าง จดไว้กันลืมก่อนวันสอบครับ

ตอนที่แล้วเราคุยเรื่องคุณภาพของหลักฐานกันครับ (ตอนที่ 28) information ต้อง relevant, reliable, sufficient, ลำดับความน่าเชื่อของแหล่งที่คนนอกชนะคนใน เอกสารชนะคำพูด ต้นฉบับชนะสำเนา และหลักฐานสี่ชนิดที่จำแนกด้วยวิธีผลิต ตอนนี้ซูมเข้าไปที่เครื่องมือหนึ่งที่ให้หลักฐานอ่อนสุดในบันไดนั้น แต่กลับขาดไม่ได้ในงานจริง คือการ “ถาม” ทั้งแบบสอบถามและการสัมภาษณ์

โครงของบท#

  • Questionnaire เป็นคำบอกเล่าของคนตอบเอง — เป็นเครื่องมือที่ดี แต่ไม่เคยพอในตัวเอง ต้องยืนยันเสมอ
  • ออกแบบแบบสอบถามให้ดี: สั้น กระชับ ไม่ระบุชื่อ ถ้อยคำไม่มีอคติ “no” เป็นธง ถามส่วนตัวท้ายสุด
  • Self-assessment survey (CSA): สี่รูปแบบ workshop (objective/risk/control/process-based) กับสามแนวทางจริง — และแนวทางปลอมที่ข้อสอบชอบยัด
  • Interview: รับมือคนที่กำลังตั้งการ์ด, สัมภาษณ์ได้แค่เบาะแสไม่ใช่ข้อพิสูจน์, active listening ที่ต้องพักการตัดสิน
  • วิธีเก็บข้อมูลอื่นๆ: observation แยกจาก inquiry/inspection ยังไง มันแข็งเรื่องไหน อ่อนเรื่องไหน

Questionnaire: เป็นแค่คำบอกเล่า ไม่ใช่ข้อพิสูจน์#

เริ่มจากเครื่องมือที่ดูเรียบง่ายสุดก่อน internal control questionnaire (แบบสอบถามการควบคุมภายใน) คือชุดคำถามที่มักออกแบบเป็นแบบตอบใช่/ไม่ใช่ หรือตอบสั้นๆ ประโยชน์หลักคือช่วยให้ผู้ตรวจเข้าใจการควบคุมภายในขององค์กร แล้วประเมินว่าการควบคุมมันทำงานได้ผลแค่ไหน ข้อดีที่ซ่อนอยู่อีกอย่างคือมันดึงคนหน้างานเข้ามามีส่วนร่วมในภารกิจตรวจสอบด้วย

แต่หัวใจที่ต้องปักหมุดไว้ตั้งแต่ต้นคือ — แบบสอบถามให้แค่ indirect evidence (หลักฐานทางอ้อม) ที่ต้องหาอย่างอื่นมายืนยัน มันคือคำบอกเล่าที่คนตอบรายงานเรื่องตัวเอง (self-reported) จะเอามาเป็นแหล่งข้อมูลชิ้นเดียวที่ เพียงพอ สำหรับสรุปว่าการควบคุมดีหรือไม่ดี ไม่ได้เด็ดขาดครับ

มุมเถ้าแก่/สภา: ลองคิดดูนะครับ ถ้าเถ้าแก่ส่งกระดาษไปให้หัวหน้าแต่ละแผนกกาเองว่า “แผนกคุณมีการควบคุมครบไหม” แล้วทุกคนกาว่า “ครบ” กลับมา เถ้าแก่จะนอนหลับสบายได้ไหม? ไม่ได้หรอกครับ เพราะคนกรอกก็คือคนที่ถูกตรวจนั่นเอง เขาย่อมอยากให้แผนกตัวเองดูดี แบบสอบถามช่วยให้แผนกประเมินตัวเองและเข้าใจขอบเขตงานได้ดีขึ้นก็จริง แต่มันไม่ใช่ใบรับรองว่าทุกอย่างเรียบร้อย

มุมผู้ตรวจ (คนสอบ): ข้อสอบชอบวางกับดักตรงคำว่า “เพียงพอ” กับ “โดยตรง” มากครับ ถ้า option ไหนบอกว่าแบบสอบถามเป็นแหล่งข้อมูลที่ sufficient (เพียงพอ) สำหรับประเมินความเสี่ยงจากการควบคุม, เป็นหลักฐาน direct (โดยตรง) และละเอียดถึงเนื้อในของระบบควบคุม, หรือ แทนที่หลักฐานอื่นทั้งหมด / ไม่ต้องตามต่อ — พวกนี้ผิดหมด เพราะแบบสอบถามเป็นแค่เครื่องมือ ยังต้องตรวจยืนยันและสัมภาษณ์เพิ่มอยู่ดี ในทางกลับกัน option ที่บอกว่ามัน ช่วยประเมิน ช่วยระบุ ช่วยออกแบบ test of controls แต่ต้องหา corroboration (หลักฐานสนับสนุน) มายืนยัน — อันนั้นแหละถูก

⚠️ กับดัก: โจทย์กลับมุมได้เนียนมาก เมื่อถามว่า “วิธีใดน่าจะใช้มากที่สุดในการดูว่าการควบคุมทำงานได้ผล” คราวนี้ inquiry-type questionnaire (การสอบถามผ่านแบบสอบถาม) กลายเป็นคำตอบที่ถูก เพราะการสอบถามคือหนึ่งใน test of controls ที่ถูกต้อง — แต่ถูกในฐานะหนึ่งในการสอบถามที่เดินคู่ไปกับ observation/inspection/reperformance ไม่ใช่ยืนเดี่ยว ระวังอย่าเผลอตัดทิ้งเพราะจำกฎ “แบบสอบถามไม่พอ” มาแบบตายตัว

จุดอ่อนตัวจริง: แข็งทื่อ มองแคบ#

แบบสอบถามมีข้อเสียหลายอย่าง แต่ข้อสอบชอบถามหาข้อเสียตัวจริง ซึ่งก็คือความ inflexible (แข็งทื่อ ไม่ยืดหยุ่น) — มันตอบได้เฉพาะสิ่งที่มันถาม อะไรอยู่นอกกรอบคำถามมันมองไม่เห็น จะปรับให้เข้ากับสถานการณ์เฉพาะก็ยาก เตรียมก็ยากกว่า แถมได้ผลน้อยกว่าการสัมภาษณ์ตัวต่อตัวอีก

มุมเถ้าแก่/สภา: เหมือนเถ้าแก่ส่งแบบฟอร์มตายตัวไปให้ผู้จัดการสาขากรอกล่วงหน้า ข้อดีคือได้ข้อมูลมาตรฐานเทียบกันได้ทุกสาขา แต่ข้อเสียคือถ้าสาขาไหนมีปัญหาแปลกๆ ที่ฟอร์มไม่ได้ถาม ผู้จัดการก็จะตอบเฉพาะที่ถูกถามไม่อาสาเล่าเพิ่ม เรื่องสำคัญเลยหลุดไปเงียบๆ

มุมผู้ตรวจ (คนสอบ): ต้องแยกให้ออกระหว่าง “ธรรมชาติของเครื่องมือ” กับ “วิธีที่ผู้ตรวจใช้มัน” พอโจทย์เล่าว่าผู้ตรวจพลาดข้อมูลที่คนตอบเสนอให้เกินกรอบฟอร์ม — ข้อบกพร่องหลักไม่ใช่ที่ตัวเครื่องมือ แต่คือผู้ตรวจเองที่ไปยึดติดกับฟอร์มจนไม่พิจารณาความสำคัญของข้อมูลที่ถูกเสนอ และถ้าโจทย์ถามว่าจะร่างแบบสอบถามยังไงดี อย่าเผลอไปเลือก option “ยืดหยุ่นในการออกแบบและการใช้งาน” — นั่นแหละตัวหลอก เพราะแบบสอบถามมันถูกออกแบบให้แข็งทื่อโดยตั้งใจ สิ่งที่ควรเลือกคือความ valid และ reliable ของถ้อยคำ วัดในสิ่งที่ตั้งใจจะวัด

⚠️ กับดัก: ข้อสอบชอบเอาข้อดีมาแต่งเป็นข้อเสีย หรือเอาจุดแข็งมาแปะป้ายว่าเป็นจุดอ่อน เช่นบอกว่าข้อเสียของแบบสอบถามคือ “จำกัดแหล่งข้อมูล/ทำให้มองข้ามการควบคุม” — ผิด เพราะจริงๆ มันเป็นกรอบที่ช่วยกันไม่ให้มองข้าม หรือบอกว่า “ซับซ้อนกรอกยาก” — ผิด เพราะแบบใช่/ไม่ใช่กรอกง่าย และระวังโจทย์กลับด้านถามหาข้อดี คราวนี้ “ทำให้ข้อมูลเป็นมาตรฐานเทียบกันได้ (standardizes/uniform)” คือคำตอบถูก ส่วน “ความยืดหยุ่น” กลับกลายเป็นตัวลวง

ออกแบบให้ถูก: สั้น ไม่ระบุชื่อ “no” เป็นธง ส่วนตัวไว้ท้าย#

พอมาถึงเรื่องการออกแบบ มีชุดกฎที่ข้อสอบวนออกมาซ้ำๆ จนต้องจำเป็นระบบเลยครับ

  • สั้นและตรงประเด็น เพิ่มอัตราการตอบกลับ — ยาวเกินไปคนไม่อยากตอบ
  • ไม่ระบุชื่อ (anonymous) เพิ่มความตรงไปตรงมา — บังคับให้ใส่ชื่อคือฆ่าความจริงใจ
  • ถ้อยคำ valid, reliable, ไม่มีอคติ — ใช้ศัพท์เทคนิคยากๆ หรือกำกวมคือแย่
  • คำตอบ “no” ควรเป็นธงชี้จุดที่ต้องเข้าไปดูต่อ — ออกแบบให้คำตอบปฏิเสธสะดุดตา
  • คำถามส่วนตัวไว้ท้ายสุด เพราะอาจกระตุ้นอารมณ์ — เอาไว้ต้นจะทำให้คนตอบเสียอารมณ์แล้วตอบที่เหลือแบบไม่ตั้งใจ
  • ตามเฉพาะคำตอบที่ดูผิดปกติ — ไม่ใช่ไล่ขอคำอธิบายทุกข้อ

มุมเถ้าแก่/สภา: สมมติเถ้าแก่อยากทำแบบสำรวจความพอใจของพนักงาน ถ้าฟอร์มบังคับให้เซ็นชื่อ ใครจะกล้าเขียนว่าหัวหน้าไม่ดีล่ะครับ? ผลที่ได้ก็จะสวยหรูปลอมๆ การรักษาความไม่ระบุชื่อเลยเป็นเรื่องคอขาดบาดตายของคุณภาพข้อมูล ไม่ใช่แค่มารยาท

มุมผู้ตรวจ (คนสอบ): โจทย์ประเภท “แนวปฏิบัติที่ดีทุกข้อยกเว้น” คือสนามกับดักคลาสสิค ตัวที่มักเป็นคำตอบ (เพราะมันผิด) คือ “ถามคำถามส่วนตัวก่อน” — ต้องไว้ท้ายสุด อีกตัวคือ “ขอคำอธิบายคำตอบทุกข้อ” ซึ่งดูขยันแต่ผิด — ให้ตามเฉพาะข้อที่ดูผิดปกติเท่านั้น และถ้าโจทย์ถามถึงเหตุผลของการสลับลำดับคำถามหรือกลับด้านสเกล คำตอบคือเพื่อลด pattern-response bias (แนวโน้มตอบเป็นแพตเทิร์นซ้ำๆ) ให้เฉลี่ยหักล้างกันในกลุ่มตัวอย่าง

⚠️ กับดัก: ข้อสอบชอบเสนอ option ที่กดการตอบกลับ มาให้ดูเป็นทางเลือก เช่น ใช้ศัพท์เทคนิค บังคับใส่ชื่อ (ฆ่าทั้งความไม่ระบุชื่อและความจริงใจ) ทำแบบสอบถามยาว หรือใช้แต่สเกลตัวเลขล้วน — พวกนี้เป็นตัวลวงที่แต่งตัวมาดูเป็นระเบียบ

Self-assessment survey: CSA ที่คนหน้างานประเมินตัวเอง#

ทีนี้ขยับขึ้นมาอีกระดับ control self-assessment (CSA — การประเมินการควบคุมด้วยตนเอง) แนวคิดพื้นฐานคือ การควบคุมเป็นความรับผิดชอบของทุกคนในองค์กร ไม่ใช่เรื่องของผู้บริหารระดับสูงกับกองผู้ตรวจเท่านั้น CSA เลยดึงคนที่ทำงานอยู่ในกระบวนการนั้นจริงๆ — พนักงานกับผู้จัดการหน้างาน — มาช่วยประเมินความเสี่ยงและการควบคุมในงานของตัวเอง พอทำแบบนี้ความตื่นตัวเรื่องความเสี่ยงและการควบคุมมันก็กระจายไปทั่วองค์กร

ตรงนี้แหละที่แนวคิด participative auditing (การตรวจสอบแบบมีส่วนร่วม) เข้ามาเป็นแกน — แทนที่ผู้ตรวจจะเป็นคนนอกที่เดินเข้ามาชี้นิ้ว ก็กลับให้คนหน้างานเข้ามาร่วมประเมินตั้งแต่ต้น ผู้ตรวจสอบภายในเองก็เข้าไปเป็น facilitator, scribe (คนจดบันทึก), reporter แล้วก็เป็นคนฝึกอบรมแนวคิดความเสี่ยง-การควบคุมให้ทีม

มุมเถ้าแก่/สภา: ประโยชน์ที่เถ้าแก่ได้จริงๆ คือคนหน้างานเป็นเจ้าของการควบคุมในหน่วยของตัวเอง พอคนรู้สึกว่าเป็นเจ้าของ การแก้ปัญหาก็มักได้ผลและทันเวลากว่า เพราะคนที่อยู่ในกระบวนการรู้ดีที่สุดว่าจุดไหนพัง แถมกองผู้ตรวจยังลดแรงที่ต้องทุ่มไปเก็บข้อมูลพื้นฐาน เอาเวลาไปโฟกัสที่กระบวนการเสี่ยงสูงหรือสถานการณ์ผิดปกติแทนได้

มุมผู้ตรวจ (คนสอบ): แต่ระวังกับดักใหญ่ครับ CSA ไม่ได้ทำให้พนักงานกลายเป็นคนที่มี objectivity หรือ independence กับงานตัวเอง — เจ้าของกระบวนการมันก็ย่อมขาดความเที่ยงธรรมต่องานของตัวเองอยู่แล้วโดยธรรมชาติ และ CSA ไม่ได้โอนความรับผิดชอบเรื่องการควบคุมไปให้ผู้ตรวจ ตรงกันข้ามเลย มันยิ่งตอกย้ำว่าผู้บริหารต่างหากเป็นเจ้าของการควบคุม เหตุผลที่ดึงพนักงานเข้ามาคือเรื่องแรงจูงใจกับความเป็นเจ้าของ ไม่ใช่เพราะพนักงานเที่ยงธรรม

⚠️ กับดัก: option “พนักงานประเมินได้อย่างเป็นอิสระ/เที่ยงธรรม” ผิด, “ความรับผิดชอบเรื่องการควบคุมของผู้ตรวจถูกตอกย้ำ / มองว่า IA รับผิดชอบการควบคุม” ผิดและเป็นสิ่งที่ไม่พึงประสงค์ — ผู้บริหาร (และผู้บริหารระดับสูงกับ board) เป็นเจ้าของการควบคุม, “การทดสอบของผู้ตรวจจะถูกตัดออกไปเกือบหมด” กล่าวเกินจริง — การทดสอบบางส่วนอาจลดลง แต่ผู้ตรวจยังต้องยืนยันว่าการควบคุมมีอยู่จริงและทำงานได้ ส่วนใครดูแลการจัดตั้ง/บริหาร/ประเมินกระบวนการความเสี่ยงและการควบคุม? คำตอบคือ senior management (ผู้บริหารระดับสูง) ไม่ใช่ผู้ตรวจ

สี่รูปแบบ workshop: จับที่เป้าหมาย ไม่ใช่จับที่บรรยากาศ#

CSA แบบ workshop-facilitation มีสี่รูปแบบที่ข้อสอบชอบเอามาสลับกันหลอก แต่ละรูปแบบมี “ท่าไม้ตายเฉพาะตัว” อยู่ ถ้าจับท่านี้ได้ก็แยกออกทันทีครับ

  • Objective-based — เล็งที่ วิธีที่ดีที่สุดในการบรรลุวัตถุประสงค์ เริ่มจากดูการควบคุมที่มีอยู่ก่อน แล้วหา residual risk (ความเสี่ยงที่เหลืออยู่) เป้าคือตัดสินว่าขั้นตอนการควบคุมทำงานได้ผลไหม
  • Risk-based — เริ่มจาก ไล่ลิสต์อุปสรรค ภัยคุกคาม ช่องโหว่ทั้งหมดก่อน แล้วค่อยดูว่าการควบคุมพอจัดการความเสี่ยงสำคัญไหม เป้าคือหา significant residual risk
  • Control-based — facilitator เลือกการควบคุมหลักไว้ก่อนเริ่ม workshop แล้วให้ทีมประเมินว่าการควบคุมทำงานดีแค่ไหน วัดช่องว่างระหว่างที่ควบคุมทำได้จริงกับที่ผู้บริหารคาดหวัง
  • Process-based — เล็งทั้งห่วงโซ่กระบวนการ ตั้งแต่ต้นจนจบ เป้าคือประเมิน ปรับปรุง ยืนยัน และทำให้กระบวนการทั้งสายลื่นไหลขึ้น

มุมผู้ตรวจ (คนสอบ): คู่ที่สับสนกันบ่อยสุดคือ control-based กับ objective-based — control-based เริ่มจากการควบคุมที่ facilitator เลือกไว้เพื่อวัดช่องว่าง ส่วน objective-based เริ่มจากเป้าหมาย แล้วไล่ดูการควบคุมที่มี จบด้วย residual risk ส่วน risk-based เป็นตัวล่อที่โผล่ทุกครั้งที่มีคำว่า “risk” ในโจทย์ — แต่มันเจาะจงว่าไล่ลิสต์อุปสรรค/ภัยคุกคามทั้งหมดก่อนเท่านั้น ให้อ่านว่าโจทย์ให้เป้าหมาย (“ตัดสินว่าขั้นตอนทำงานได้ผลไหม” = objective-based) หรือให้ท่าเริ่มต้น (“ลิสต์อุปสรรคทั้งหมด” = risk-based)

⚠️ กับดัก: สามรูปแบบที่โจทย์ไม่ได้ถามจะถูกวางเป็นตัวลวง แต่ละตัวมีนิยามจริงของมันเอง (แต่ผิดสำหรับโจทย์นี้) เช่นโจทย์บอก “ดูว่าการควบคุมจัดการความเสี่ยงหลักได้ดีแค่ไหน” → control-based ไม่ใช่ risk-based, “เน้นวิธีที่ดีที่สุดในการบรรลุเป้าหมายองค์กร” → objective-based, “เริ่มจากลิสต์อุปสรรค อุปสรรค ภัยคุกคาม” → risk-based

สามแนวทาง CFA… เอ๊ย สาม CSA จริง กับตัวปลอมตัวที่สี่#

CSA มีแค่ สามแนวทางหลักเท่านั้น จำให้แม่นเพราะข้อสอบชอบใส่ตัวปลอมเข้ามา

  • Facilitation (workshop) — เก็บข้อมูลจากทีมงานหลายระดับในหน่วยงาน มานั่งประชุมร่วมกัน
  • Survey (questionnaire) — ใช้แบบสอบถาม เหมาะเมื่อคนตอบจำนวนมากหรือกระจายตัวกว้างจนมาประชุมไม่ไหว, วัฒนธรรมองค์กรไม่เอื้อให้พูดเปิดใจ, หรือผู้บริหารอยากลดเวลาและต้นทุน
  • Self-certification — อิงกับการวิเคราะห์ที่ฝ่ายบริหารจัดทำเอง ผู้ตรวจ/CAE เพียงแค่ synthesize (สังเคราะห์รวม) การวิเคราะห์นั้นกับข้อมูลอื่นเพื่อแบ่งปันความรู้

⚠️ กับดัก: “auditor-produced analysis” (การวิเคราะห์ที่ผู้ตรวจทำเอง) เป็นแนวทางที่ปลอมขึ้นมา — CSA ทำโดยฝ่ายบริหาร/ทีมงาน ไม่ใช่ผู้ตรวจเป็นคนผลิต และ “cost-benefit” ก็เป็นอีกตัวปลอมที่ถูกยัดเข้ามาในโจทย์ประเภท “แนวทางใดคือ CSA” อีกจุดที่พลาดง่ายคือ survey กับ questionnaire เป็นแนวทางเดียวกันใต้สองชื่อ อย่านับเป็นสองตัวเลือก และใน self-certification ฝ่ายบริหารเป็นคนผลิต ผู้ตรวจแค่สังเคราะห์ — อย่าให้เครดิตผู้ตรวจว่าเป็นคนผลิต ถ้าโจทย์ถามว่า “รูปแบบใดสมมติว่าผู้ใช้เข้าใจแนวคิดความเสี่ยง/การควบคุม” คำตอบคือ ทุกรูปแบบ ไม่ใช่แค่ตัวใดตัวหนึ่ง

Interview: ได้เบาะแส ไม่ใช่ข้อพิสูจน์#

มาถึงเครื่องมือที่ทรงพลังสุดแต่ก็เปราะสุด — การสัมภาษณ์ วัตถุประสงค์หลักคือเก็บข้อเท็จจริงที่เกี่ยวกับภารกิจพร้อมรับ feedback มักทำในช่วง preliminary survey (การสำรวจเบื้องต้น) ของภารกิจ สิ่งที่ได้ออกมาคือ testimonial evidence (หลักฐานจากคำบอกเล่า) จากพนักงานและคนนอกที่เกี่ยวข้อง ข้อดีคือมันเปิดช่องให้ผู้ตรวจสอดคำถามเจาะในจุดที่น่าสนใจได้ เลยเข้าใจการดำเนินงานลึกขึ้นและตามหาสาเหตุของผลลัพธ์ที่ผิดคาดได้

แต่จุดที่ต้องปักหมุด — สัมภาษณ์ให้แค่ เบาะแสและทิศทาง ไม่ได้ให้ objective evidence (หลักฐานเชิงภาววิสัย) การสัมภาษณ์จะยกระดับเป็นหลักฐานได้ก็ต่อเมื่อมันไปยืนยันข้อเท็จจริงที่มีหลักฐานอื่นรองรับอยู่แล้ว ข้อมูลสำคัญจากการสัมภาษณ์ต้องตามไปยืนยันต่อเสมอ

มุมเถ้าแก่/สภา: เหมือนเถ้าแก่ได้ยินลูกน้องบ่นว่า “สาขานั้นของหายบ่อย” — เถ้าแก่จะเชื่อทันทีแล้วลงโทษหัวหน้าสาขาเลยไหมล่ะ? ไม่ควรครับ คำบอกเล่าเป็นแค่จุดตั้งต้นให้ไปตามดูของจริง ไปนับสต็อก ไปดูบันทึก ถ้าด่วนสรุปจากปากคนเดียว อาจตัดสินผิดคนได้เลยนะ

มุมผู้ตรวจ (คนสอบ): จับ trigger ให้ขาด ถ้า option บอกว่าสัมภาษณ์ “ยกระดับข้อมูลเป็น objective evidence” ผิด, “เป็นวิธีที่ประหยัดสุดสำหรับข้อมูลปริมาณมาก” ผิด (สัมภาษณ์กินเวลาและแพง), “เป็นวิธีเดียวที่ไม่ต้องยืนยัน” ผิด (ข้อมูลสำคัญต้องตามต่อ) เหตุผลที่ดีที่สุดในการสัมภาษณ์คือ เพื่อสอดคำถามเจาะจุดที่มีแวว ไม่ใช่เพื่ออัปเกรดเป็นหลักฐาน และถ้าถามว่าทำยังไงให้ข้อสรุปแม่นยำ คำตอบคือ หาเอกสารและหลักฐานสนับสนุนมา corroborate ไม่ใช่พึ่งการสัมภาษณ์อย่างเดียว

⚠️ กับดัก: เรื่อง nonverbal cue (สัญญาณอวัจนภาษา — สีหน้า ท่าทาง น้ำเสียง) เป็นกับดักที่เจ็บ ภาษากายอาจสื่อข้อมูลมากกว่าคำพูดในบางกรณี แต่มันไม่ได้จริงกว่าเสมอไป และลำพังภาษากายอย่างเดียวไม่มีทางเพียงพอที่จะสรุปว่ามีการทุจริตเกิดขึ้น ถ้า option บอกว่าสัญญาณอวัจนภาษา “หนักแน่นพอจะกล่าวหาว่าทุจริต” → ผิดเสมอ ให้บันทึกไว้ประกอบการพิจารณาต่อ ไม่ใช่ใช้ตัดสิน

รับมือคนที่กำลังตั้งการ์ด: ทำให้สบายใจ อย่าต้อนเข้ามุม#

ปัญหาพื้นฐานของการสัมภาษณ์คือ คนไม่ชอบถูกประเมิน พอรู้สึกว่ากำลังถูกตรวจ ก็อาจตั้งการ์ด ขุ่นเคือง หรือกลัวผลของรายงาน กฎเหล็กพอเจอคนแบบนี้คือ — ทำให้สบายใจ ทำให้เป็นมนุษย์ ถามอ้อมๆ แล้วค่อยวนกลับมา ห้ามยุติ ห้ามเรียกร้อง ห้ามเผชิญหน้าตรงๆ ห้ามสมมติว่าผิด ห้ามข้ามหัวไปหาหัวหน้า

มุมผู้ตรวจ (คนสอบ): ให้ถามตัวเองว่า option นี้ ทำให้คนถูกสัมภาษณ์สบายใจและพูดต่อไหม

  • คนเริ่มตั้งการ์ดพูดน้อยลง → ให้ความมั่นใจและอธิบายคุณค่าของข้อมูลที่เขาให้ (ไม่ใช่ถามตรงๆ ไม่ใช่ปิดบทสัมภาษณ์)
  • พนักงานไม่แน่ใจว่าทำไมต้องเก็บข้อมูล → อธิบายวัตถุประสงค์ให้ครบว่าทำไมความเห็นเขาสำคัญ
  • เสมียนอาจรู้สึกโดนกล่าวหาเรื่องจุดอ่อนของระบบ → ถามอ้อมๆ เพื่อให้ได้ข้อเท็จจริงโดยไม่กล่าวหา
  • พนักงานลังเลอ้างแต่ระเบียบ → สัมภาษณ์ต่อ คุยเรื่องหน้าที่อื่น แล้ววนกลับมาที่ประเด็นเป็นระยะ
  • ช่วงเปิดบทสัมภาษณ์ → ถามเรื่องงานของเขาเพื่อสร้างความเป็นกันเอง สร้าง rapport
  • สัมภาษณ์ช่วง preliminary survey → หลีกเลี่ยงการวิจารณ์ผู้ถูกสัมภาษณ์/หน่วยงานมากเกินไป (ไม่ใช่ก้าวร้าว ไม่ใช่ใช้การจู่โจมแบบ surprise)

⚠️ กับดัก: ตัวลวงที่แต่งตัวมาดูเป็น “ความเป็นมืออาชีพ” คือ ยุติหรือเลื่อนการสัมภาษณ์ — ฟังดูสุขุมแต่ทำให้เสียข้อมูล อีกตัวคือ เรียกร้องให้ความร่วมมือ หรือ สั่งสอนเทียบกับหน่วยงานอื่น — ดูมีอำนาจแต่ยิ่งสร้างแรงต้าน และ สมมติว่าการตั้งการ์ด = มีการกระทำผิด แล้วตั้งคำถามไปทางนั้น — ไม่เป็นมืออาชีพและยิ่งทำให้บทสัมภาษณ์พัง หรือ เผชิญหน้ากับจุดอ่อนตรงๆ / ไปสัมภาษณ์หัวหน้าแทน — หัวหน้าไม่รู้ในสิ่งที่คนนี้รู้ การกล่าวหาตรงๆ ทำให้เขาปิดปากเงียบ

Active listening: ฟังจริง พักการตัดสิน#

การฟังอย่างตั้งใจ (active listening) ไม่ใช่แค่นั่งเงียบแล้วรอนะครับ มันมีวินัยของมัน ผู้ฟังที่ดีจะ หยุดพูด ต้านสิ่งรบกวนทั้งภายในและภายนอก บูรณาการข้อมูลใหม่เข้ากับสิ่งที่รู้อยู่แล้ว แล้วก็พักการตัดสินไว้ก่อน พร้อมกับฟังด้วยความเห็นอกเห็นใจ (empathy) การยอมรับ และความตั้งใจ (intensity) — ทนความเงียบได้ ถามคำถามปลายเปิด แล้วสรุปทวนสิ่งที่ได้ยินเพื่อกระตุ้นให้เขาเล่าต่อ

มุมผู้ตรวจ (คนสอบ): เก็บพฤติกรรมที่ช่วยดูดซับสารที่กำลังได้ยิน ทิ้งอะไรก็ตามที่เบี่ยงความสนใจหรือรีบตัดสิน

  • เพิ่มประสิทธิภาพการฟังต้านสิ่งรบกวนทั้งภายในและภายนอก (ไม่ใช่ตัดเสียงที่ดู “นอกเรื่อง” ทิ้ง, ไม่ใช่คำนึงถึงอคติตอนนี้)
  • ระหว่างฟังผู้ตรวจควรบูรณาการข้อมูลที่เข้ามาเข้ากับสิ่งที่รู้อยู่แล้ว
  • ผู้ฟังที่ดีทำตัวยังไงฟังด้วยการยอมรับ ความเห็นใจ และความตั้งใจ (ไม่ใช่ตัดสิน ไม่ใช่คิดคำโต้ตอบ)
  • กันไม่ให้พลาดประเด็นสำคัญตอนคนพูดเยอะคาดการณ์จุดที่น่าสนใจที่สุด (ไม่ใช่จดทุกรายละเอียด)
  • อยู่ให้ตั้งใจตลอด 20 กว่าบทสัมภาษณ์เปลี่ยนถ้อยคำและสลับลำดับคำถามเดิม

⚠️ กับดัก: ตัวลวงชุดใหญ่คือพฤติกรรมที่เบี่ยงความสนใจหรือรีบประเมิน เช่น คิดคำตอบ/เตรียมโต้แย้งขณะเขากำลังพูด (คิดจะตอบไม่ใช่การฟัง จะพลาดประเด็น), เอาอคติมาคิดตอนนี้เลย (ต้องแก้อคติทีหลัง ไม่ใช่ระหว่างฟัง), ตัดเสียงที่ไม่เข้ากับวัตถุประสงค์ทิ้ง (ข้อมูลที่ดูไม่เกี่ยวอาจสำคัญ), ตัดสินไปพร้อมที่เขาพูด, และ พยายามจำ/จดทุกรายละเอียด (ไล่จับดีเทลจนพลาดประเด็นหลัก) และถ้าเป็นโจทย์ “ทุกข้อยกเว้น” ตัวที่ต้องชี้คือ เลี่ยงการถามคำถามทั้งหมดจนกว่าผู้พูดจะจบ — คำถามที่จังหวะดีต่างหากที่เป็นสัญญาณว่าตั้งใจฟัง

วิธีเก็บข้อมูลอื่นๆ: Observation กับพวกพ้อง#

ปิดท้ายด้วยชุดเครื่องมือที่ข้อสอบชอบเอาชื่อมาสลับกัน observation (การสังเกต) คือ การมองดูกระบวนการหรือขั้นตอนขณะกำลังถูกทำ ด้วยการเฝ้าดูพนักงานทำงานจริงๆ ผู้ตรวจก็เลยดูออกว่านโยบายที่เขียนไว้ถูกเอาไปใช้จริงไหม แถมการดูปรากฏการณ์ในสภาพธรรมชาติยังช่วยลดอคติเชิงทดลองได้บางส่วนด้วย

มุมผู้ตรวจ (คนสอบ): เคล็ดคือ ถอดรหัสจากกริยาว่าผู้ตรวจกำลังทำอะไร

  • เฝ้าดูคนทำงาน → observation (และให้ความเชื่อมั่นมากกว่า inquiry เพราะได้หลักฐานโดยตรง)
  • ถาม/พูดคุยกับคน → inquiry (การสอบถาม — ทางอ้อม ให้ความเชื่อมั่นน้อยที่สุด)
  • ตรวจดูเอกสารหรือบันทึก → inspection (การตรวจสอบเอกสาร)
  • กระทบ/ประเมินความสัมพันธ์ของข้อมูลการเงิน → analytical procedure
  • ไล่ตามหนึ่งรายการตลอดสาย → walkthrough

⚠️ กับดัก: “ตามรอย/ไล่ตามรายการผ่านกระบวนการ” ถูกวางไว้ราวกับเป็น observation — แต่นั่นคือ walkthrough ไม่ใช่ observation, “พูดคุยกับพนักงาน/สัมภาษณ์ผู้จัดการ” ดูเหมือนสังเกตแต่จริงๆ คือ inquiry, “ตรวจม้วนกระดาษเครื่องบันทึกเงินสด/กระทบยอดเงินฝากกับยอดขาย” คือ inspection/analytical ไม่ใช่ observation ส่วนการเดินตรวจสถานที่เพื่อดูกิจกรรมที่ตรวจ เป็นตัวอย่างของ observation/inspection ที่ทำช่วงต้นภารกิจ

Observation: แข็งเรื่องเกิดขึ้นจริง อ่อนเรื่องครบถ้วน#

observation มีคุณสมบัติตายตัวที่ต้องล็อกไว้เลยครับ มันหนักแน่นที่สุดสำหรับ existence/occurrence assertion (สิ่งนี้มีอยู่จริง/รายการนี้เกิดขึ้นจริง) แต่อ่อนสำหรับ completeness assertion (ทุกรายการที่ควรบันทึกถูกบันทึกครบไหม) เพราะเห็นของหนึ่งชิ้นเกิดขึ้น มันไม่ได้บอกว่าไม่มีชิ้นไหนตกหล่น แถมยังถูกจำกัดอยู่แค่ช่วงเวลาที่มองเห็นเท่านั้น แล้วการที่คนรู้ว่ากำลังถูกดูก็อาจทำให้เขาทำตัวต่างไป (เลยมี unobtrusive measure — การสังเกตแบบไม่รบกวน)

มุมผู้ตรวจ (คนสอบ): ทดสอบทุก option กับคุณสมบัติตายตัวนี้

⚠️ กับดัก: “หนักแน่นกว่าสำหรับ completeness assertion” → กลับด้าน observation แข็งเรื่อง existence/occurrence, “พฤติกรรมส่วนตัว ความรู้สึก แรงจูงใจ สังเกตได้” → ผิด สิ่งเหล่านี้สังเกตไม่ได้เลยแม้แต่ผ่านวิดีโอ (ข้อดีจริงของภาพที่บันทึกแบบไม่รบกวนคือพฤติกรรมไม่ถูกเปลี่ยนเพราะรู้ตัวว่าถูกดู ไม่ใช่ว่าความรู้สึกกลายเป็นสังเกตได้) และในโจทย์ “ข้อจำกัดทุกข้อยกเว้น” ระวังตัวปลอมที่เป็นคุณสมบัติของแบบสอบถาม เช่น slow response time (ตอบกลับช้า) ถูกแอบใส่มาเป็นข้อจำกัดของ observation — มันไม่ใช่

เลือกเครื่องมือให้ตรงกับข้อมูล: survey vs interview vs rating scale#

สุดท้ายเป็น pattern เลือกเครื่องมือให้ตรงกับลักษณะตัวอย่างและชนิดคำถาม ครับ

  • กลุ่มเล็กที่กำหนดไว้แล้ว + คำถาม “ทำไม/อย่างไร” → interview (เจาะลึกได้)
  • กลุ่มตัวอย่างใหญ่แบบสุ่ม + อยากลดอคติผู้สัมภาษณ์ → questionnaire (แต่ตอบช้าและมี nonresponse bias)
  • ชุดตัวเลือกไล่ระดับเป็นช่วงต่อเนื่อง → rating scale (มาตรวัดแบบให้คะแนน)

มุมผู้ตรวจ (คนสอบ): เรื่อง nonresponse bias (อคติจากผู้ไม่ตอบ) ข้อสอบชอบเปลี่ยนให้เป็นปัญหาคณิตศาสตร์ เช่น “ทำให้คำนวณค่าเฉลี่ยยาก” “ช่วงความเชื่อมั่นแคบลง” — ผิด ประเด็นจริงคือ คนที่ไม่ตอบมีลักษณะต่างจากคนที่ตอบอย่างเป็นระบบ ทำให้ตัวอย่างไม่สุ่มจริง และระวังโจทย์ที่ผลัก questionnaire ให้กลุ่มเล็กที่กำหนดไว้ ทั้งที่ interview เหมาะกว่าสำหรับความลึกแบบ “ทำไม/อย่างไร”

⚠️ กับดัก: ในโจทย์ “ข้อดีทุกข้อยกเว้น” ตัวที่เป็นคำตอบคือตัวที่จริงๆ เป็นจุดอ่อน (เช่นบอกว่าการสังเกตแบบไม่รบกวน “วัดได้แม่นยำง่ายกว่า” — เท็จ) และในโจทย์ “วิธีใดแย่ที่สุด” ตัวที่ตอบคือวิธีที่ไม่มีความเป็นส่วนตัวและกล่าวหาปัญหาก่อนมีหลักฐาน (เช่นส่งอีเมลกลุ่มถึงพนักงานทั้งแผนกโดยกล่าวหาว่ามีปัญหา) ส่วนชุดตัวเลือกไล่ระดับ “อาจไม่ใช่ปัญหา / อาจเป็นได้ / น่าจะเป็นปัญหา” คือ rating scale ไม่ใช่การวิเคราะห์แนวโน้มหรือ unobtrusive measure ที่มักถูกแปะป้ายผิด

ตารางกับดักรวม#

สถานการณ์คำตอบหลอกคำตอบจริง
แบบสอบถามพอสำหรับประเมินความเสี่ยงจากการควบคุมไหมเพียงพอ/โดยตรง/แทนหลักฐานอื่นทั้งหมดเป็นทางอ้อม ต้อง corroborate
”วิธีใดใช้ดูว่าการควบคุมทำงานได้ผล”ตัดแบบสอบถามทิ้งเพราะ “ไม่พอ”inquiry-type questionnaire = test of controls ที่ถูก
ข้อเสียของแบบสอบถามจำกัดแหล่งข้อมูล/มองข้ามการควบคุม/กรอกยากแข็งทื่อ ตอบเฉพาะที่ถูกถาม
ผู้ตรวจพลาดข้อมูลนอกฟอร์มธรรมชาติของเครื่องมือบกพร่องผู้ตรวจไม่พิจารณาข้อมูลที่ถูกเสนอ
วิธีร่างแบบสอบถาม”ยืดหยุ่นในการออกแบบ”ถ้อยคำ valid/reliable
แนวปฏิบัติที่ดี “ยกเว้น”ถามส่วนตัวก่อน / ขอคำอธิบายทุกข้อส่วนตัวไว้ท้าย / ตามเฉพาะข้อผิดปกติ
CSA ทำให้พนักงานเป็นยังไงเที่ยงธรรม/เป็นอิสระมีแรงจูงใจ/เป็นเจ้าของ (ยังขาด objectivity)
ใครดูแลกระบวนการความเสี่ยงและการควบคุมผู้ตรวจ/IAsenior management
ผลของ CSA ต่อการตรวจครั้งหน้าตัดการทดสอบออกเกือบหมดผู้ตรวจยังต้องยืนยันว่าการควบคุมทำงาน
”เริ่มจากลิสต์อุปสรรคทั้งหมด”control-basedrisk-based
”facilitator เลือกการควบคุมหลักไว้ก่อน”objective-basedcontrol-based
แนวทาง CSAauditor-produced analysis / cost-benefitfacilitation / survey / self-certification
self-certification ใครผลิตการวิเคราะห์ผู้ตรวจผลิตฝ่ายบริหารผลิต ผู้ตรวจแค่สังเคราะห์
คุณค่าของการสัมภาษณ์ยกระดับเป็น objective evidence / ถูกสุด / ไม่ต้องยืนยันสอดคำถามเจาะจุดที่มีแวว ต้อง corroborate
ภาษากายอย่างเดียวหนักแน่นพอกล่าวหาว่าทุจริตไม่พอ ต้องมีหลักฐานอื่น
คนถูกสัมภาษณ์ตั้งการ์ดยุติ/เรียกร้อง/สมมติว่าผิด/ไปหาหัวหน้าให้ความมั่นใจ ถามอ้อม วนกลับทีหลัง
เพิ่มประสิทธิภาพการฟังเตรียมคำโต้ตอบ / คิดอคติตอนนี้ / ตัดเสียงนอกเรื่องต้านสิ่งรบกวน พักการตัดสิน
”ไล่ตามรายการผ่านกระบวนการ”observationwalkthrough
ให้ความเชื่อมั่นว่าการควบคุมทำงานมากสุดinquiry/recomputation/confirmationการสังเกตโดยตรง (observation)
observation แข็งเรื่องไหนcompletenessexistence/occurrence (อ่อนเรื่อง completeness)
“ข้อจำกัดของ observation ทุกข้อยกเว้น”ความรู้สึก/แรงจูงใจสังเกตไม่ได้slow response time (เป็นของแบบสอบถาม)

สิ่งที่จดสำหรับวันสอบ#

  • Questionnaire = คำบอกเล่า self-reported เป็น indirect evidence ต้อง corroborate เสมอ / เจอคำว่า “เพียงพอ/โดยตรง/แทนหลักฐานอื่น” = ผิด
  • แต่ inquiry ผ่านแบบสอบถามเป็น test of controls ที่ถูก เมื่อโจทย์ถามว่าใช้ดูการควบคุมทำงานไหม
  • ข้อเสียตัวจริง = inflexible ตอบเฉพาะที่ถาม / ข้อดี = standardize / “ความยืดหยุ่น” เป็นตัวลวงเสมอ
  • ออกแบบ: สั้น + ไม่ระบุชื่อ + valid/reliable + “no” เป็นธง + ส่วนตัวไว้ท้าย + ตามเฉพาะข้อผิดปกติ
  • CSA ดึงคนหน้างานร่วม (participative auditing) แต่ไม่ทำให้เขาเที่ยงธรรม ไม่โอนความรับผิดชอบ ผู้ตรวจยังต้องยืนยัน / senior management ดูแล
  • สี่รูปแบบ: objective (เริ่มที่เป้า→residual risk) · risk (ลิสต์อุปสรรคก่อน) · control (facilitator เลือกการควบคุมก่อน→วัดช่องว่าง) · process (ทั้งห่วงโซ่)
  • สามแนวทางจริง: facilitation · survey(=questionnaire) · self-certification (ฝ่ายบริหารผลิต ผู้ตรวจสังเคราะห์) / “auditor-produced” กับ “cost-benefit” เป็นตัวปลอม
  • Interview = ได้เบาะแส ไม่ใช่ objective evidence / แพงและช้า / ต้องยืนยันเสมอ / ภาษากายอย่างเดียวไม่พอกล่าวหาทุจริต
  • คนตั้งการ์ด → ทำให้สบายใจ ถามอ้อม วนกลับทีหลัง ห้ามยุติ/เรียกร้อง/สมมติว่าผิด/ข้ามหัว
  • Active listening = ต้านสิ่งรบกวน + พักการตัดสิน + บูรณาการกับสิ่งที่รู้ + คาดการณ์ประเด็น ไม่ใช่จดทุกดีเทลหรือเตรียมคำโต้
  • แยกวิธีจากกริยา: ดูคนทำ=observation · ถาม=inquiry · ตรวจเอกสาร=inspection · ไล่รายการตลอดสาย=walkthrough
  • Observation แข็งเรื่อง existence/occurrence อ่อนเรื่อง completeness / จำกัดที่ช่วงเวลาที่ดู / ความรู้สึก-แรงจูงใจสังเกตไม่ได้

รู้จักการถามแล้ว ตอนหน้าเปิดคลังแสงเต็มๆ ว่าผู้ตรวจมีเครื่องมือเก็บหลักฐานอะไรบ้าง — inquiry, observation, inspection, vouching กับ tracing ที่ทิศลูกศรตอบคนละ assertion, confirmation, reperformance แต่ละตัวใช้เมื่อไหร่ ให้หลักฐานแรงแค่ไหน ตอนถัดไป: คลังแสงเครื่องมือเก็บหลักฐาน (1)

อ้างอิง: Gleim CIA Review (2026), Part 2 · IIA Global Internal Audit Standards (2024)