สารบัญ
ลองคิดดูนะครับ กองผู้ตรวจการเพิ่งจบภารกิจใหญ่ไป ตรวจครบทุกจุด เจอปัญหาสำคัญอยู่สองสามเรื่อง หัวหน้าทีมสรุปให้เถ้าแก่ฟังปากเปล่าอย่างมั่นใจ เถ้าแก่พยักหน้า สั่งแก้ตามนั้น จบสวย
จนหกเดือนต่อมามีคนตั้งคำถามว่า “ตอนนั้นตรวจอะไรบ้าง ดูจากไหนถึงสรุปแบบนั้น” อ้าว ปรากฏว่าในกองไม่มีอะไรเหลือเลยนอกจากความทรงจำของคนที่ตอนนี้ก็ลาออกไปแล้ว เอาตรงๆ ในโลกของการตรวจสอบ มีประโยคหนึ่งที่โหดร้ายแต่จริง — ถ้าไม่ได้จด ก็เท่ากับไม่ได้เกิดขึ้น งานที่ทำมาทั้งหมด ถ้าไม่มีกระดาษทำการรองรับ ก็ระเหยไปพร้อมกับคนทำ
ตอนก่อนๆ เราเดินภารกิจกันมาตั้งแต่ต้น เก็บหลักฐาน วิเคราะห์ประเมินผลจนถึงปลายทางแล้ว ตอนนี้มาถึงสิ่งที่ห่อหุ้มงานทั้งหมดนั้นไว้ให้จับต้องได้ — กระดาษทำการ (workpapers) บันทึกที่เป็นหลักฐานหลักของทุกอย่างที่ทีมทำ และเป็นหมวดที่ข้อสอบชอบวางกับดักไว้แบบเนียนๆ มันฟังดูเป็นเรื่องธุรการก็จริง แต่ทุกคำถามซ่อนหลักการเรื่อง อะไรคือหัวใจ อะไรคือของประดับ ไว้ข้างใน
ตอนที่แล้วเราคุยเรื่องการวิเคราะห์ตัวเลขและ CAAT กันครับ (ตอนที่ 33) analytical review ที่เทียบภาพรวมไม่พิสูจน์รายตัว, บันไดวิเคราะห์สี่ขั้น, การแยก CAAT อย่าง test data/ITF/parallel simulation, GAS ที่จัดการข้อมูลได้แต่ไม่ตัดสินแทนคน และ AI/ML ที่ช่วยเร่งแต่ไม่แทนคน พอเก็บและวิเคราะห์หลักฐานครบทุกเครื่องมือแล้ว คำถามถัดมาคือทั้งหมดนี้จดไว้ที่ไหน ตอนนี้เลยว่าด้วยสิ่งที่ห่อหุ้มงานทั้งภารกิจไว้ให้จับต้องได้
โครงของบท
- คุณภาพวัดที่ความพอเพียง ไม่ใช่ความสวยงาม — กระดาษทำการที่ดีคือคนใหม่หยิบไปทำงานซ้ำแล้วได้ผลเดิม format/ความเป็นระเบียบเป็นแค่ของรอง
- เก็บเฉพาะที่ relevant กับ objective — คำว่า “ทุกอย่าง/ทั้งหมด/สำเนาครบทุกใบ” คือคำตอบผิดเสมอ
- Indexing/cross-reference มีไว้เพื่อสอบทาน ไม่ใช่เพื่อค้ำจุนรายงานหรือเลิกทำ follow-up
- ทำเพื่อผู้ตรวจสอบภายใน สอบทานโดย supervisor ด้วยการลงชื่อ+วันที่ ไม่ใช่ฝ่ายบริหารเซ็นรับรอง
- การเก็บรักษาผูกกับประโยชน์+กฎหมาย CAE ตั้งนโยบาย legal counsel อนุมัติ ไม่มีตัวเลขตายตัว ไม่มี “เก็บตลอดกาล”
- Security กันการแก้ไข/ย้ายข้อมูล (integrity) ไม่ใช่กันคนดู และโชว์ฝ่ายบริหารได้ถ้า CAE อนุมัติ แต่ห้ามในคดีทุจริต
กระดาษทำการคืออะไร แล้วทำไมมันถึงเป็นหลักฐานหลัก
เริ่มจากภาพใหญ่ก่อน the Standards เรื่อง engagement documentation กำหนดไว้ว่าผู้ตรวจสอบภายในต้องบันทึกข้อมูลและหลักฐานที่ relevant, reliable และ sufficient เพื่อรองรับผลของภารกิจ บันทึกให้ละเอียดถึงขั้นที่คนที่มีความรู้และความรอบคอบพอกัน หยิบไปทำงานซ้ำแล้วได้ผลลัพธ์เดียวกัน นี่แหละแก่นที่ต้องปักหมุดไว้ก่อนเลย เพราะกับดักครึ่งค่อนหมวดนี้วนอยู่รอบคำนี้ทั้งนั้น
กระดาษทำการก็คือสิ่งที่ทำให้ข้อกำหนดนั้นเป็นจริง มันบันทึกทุกอย่างที่เกิดตลอดภารกิจ ตั้งแต่วางแผน ทดสอบ วิเคราะห์ ประเมิน ไปจนตกผลึกเป็นผลและ conclusion ถึงจะเรียกว่า “กระดาษ” แต่ทุกวันนี้ส่วนใหญ่มันอยู่ในรูป digital ไปแล้ว หน้าที่หลักของมันมีอยู่ไม่กี่อย่าง แต่หนักทุกอย่าง — ช่วยวางแผน ลงมือ และสอบทานภารกิจ, เป็น หลักฐานหลัก ที่ค้ำผลของภารกิจ, แสดงว่า objective ที่ตั้งไว้บรรลุจริง, ยืนยันความถูกต้องครบถ้วนของงานที่ทำ, เป็นฐานให้กับโครงการประกันคุณภาพของ internal audit function และเปิดทางให้ผู้อื่นเข้ามาสอบทานได้
มุมเถ้าแก่/สภา: กระดาษทำการคือหลักประกันว่าเงินที่เถ้าแก่จ่ายค่าตรวจไม่ได้ละลายไปกับความทรงจำของใครคนเดียว ลองคิดดูนะครับ ถ้าวันหนึ่งมีคนภายนอก มีหน่วยงานกำกับ หรือมีคดีความมาถามว่า “ตอนนั้นองค์กรรู้เรื่องนี้ไหม ตรวจแล้วเจออะไร” สิ่งที่ตอบแทนได้คือแฟ้มกระดาษทำการ ไม่ใช่คำพูดลอยๆ มันคือทรัพย์สินที่ปกป้องเถ้าแก่ในวันที่เรื่องบานปลาย และเป็นเครื่องมือที่ทำให้สภา (board) เชื่อได้ว่ากองผู้ตรวจทำงานจริง ไม่ใช่แค่รายงานสวยๆ
มุมผู้ตรวจ (คนสอบ): จำเจตนาไว้ ไม่ต้องท่องเลข — Standard 14.6 เรื่อง engagement documentation คือที่มาของ “คนใหม่ทำซ้ำแล้วได้ผลเดิม” เวลาโจทย์ถามว่ากระดาษทำการมีไว้เพื่ออะไร คำตอบหลักคือ เป็น principal support ของผลภารกิจ ไม่ใช่ “เพื่อความเป็นระเบียบ” หรือ “เพื่อให้ดูมืออาชีพ” และคนที่ตั้งนโยบายและขั้นตอนการทำเอกสารคือ CAE จำหน้าที่ของ CAE ตรงนี้ไว้ เดี๋ยวมันจะกลับมาอีกในเรื่องการเก็บรักษา
ความพอเพียงชนะความสวยงาม: อะไรคือ “หัวใจ” ของกระดาษทำการ
ตรงนี้คือกับดักที่ออกบ่อยที่สุดในหมวดนี้ และเป็นจุดที่คนตอบพลาดกันเยอะ เพราะโจทย์จะเรียงคุณสมบัติดีๆ ของกระดาษทำการมาให้เลือกทั้งแผง — มี format มาตรฐาน, ทำเป็นระเบียบ, จัดเรียงตามลำดับตรรกะ, กระชับ แล้วถามว่าอะไรสำคัญที่สุด คุณสมบัติพวกนั้นถูกทุกอัน แต่ไม่มีอันไหนเป็นหัวใจ
หัวใจจริงมีแค่อันเดียว — กระดาษทำการต้องให้ข้อมูลที่ sufficient, reliable, relevant และ useful พอที่จะรองรับผลและ conclusion ของภารกิจ พูดง่ายๆ คือต้องพอจนคนใหม่หยิบไปทำงานต่อจนจบได้ ส่วนคำว่า “สมบูรณ์ (complete)” ก็ไม่ได้แปลว่าครบตาม format นะ แต่แปลว่า ตอบโจทย์ engagement objective ที่กระดาษแผ่นนั้นถูกสร้างขึ้นมา ความชัด ความกระชับ ความแม่นยำ พวกนี้พึงประสงค์ก็จริง แต่ completeness กับการรองรับ conclusion ต่างหากที่สำคัญที่สุด
⚠️ กับดัก: ข้อสอบชอบเอาคุณสมบัติเรื่อง format/ความเป็นระเบียบ/การเรียงลำดับ/ความกระชับ มาแต่งตัวให้ดูเหมือน “สำคัญที่สุด” ทุกอันจริง แต่ไม่มีอันไหน paramount พอมีตัวเลือกที่พูดถึง เนื้อหาที่รองรับผล โผล่มา ให้เลือกอันนั้นเสมอ และระวังนิยาม “สมบูรณ์เมื่อทำตาม format ครบ” หรือ “สมบูรณ์เมื่อชัด กระชับ แม่นยำ” — ผิด สมบูรณ์ = ตอบ engagement objective ไม่ใช่เรื่องเปลือกนอก
⚠️ กับดัก: อีกมุมที่ชอบออก คือถามว่า เกณฑ์ของความ sufficient คืออะไร ตัวลวงจะยัดคำว่า “ความกระชับ” “จำนวนของ finding ที่เจอ” หรือ “ความสะดวกของคนนอกที่จะอ่าน” — ผิดหมด เกณฑ์จริงคือ relevance และ reliability ของข้อมูล ต่างหาก และถ้าโจทย์ถามว่าอะไรบอกได้ว่าหลักฐานพอ ให้มองหา ขั้นตอน finding และเอกสารสนับสนุนที่ชัดเจน ส่วนถ้าถามว่ากระดาษทำการที่ทำแบบมาตรฐาน (standardized) มีไว้เพื่ออะไรเป็นหลัก คำตอบคือ เพื่อทำงานได้อย่างมีประสิทธิภาพและสม่ำเสมอ (efficiency/consistency) ไม่ใช่ “เพื่อความเป็นมืออาชีพ/เป็นระเบียบ/แม่นยำ”
มุมเถ้าแก่/สภา: อุปมาเหมือนเถ้าแก่ให้ลูกน้องไปสำรวจทำเลเปิดสาขาใหม่ กลับมาส่งสมุดที่เขียนสวยหรู ปกแข็ง จัดหน้าเป๊ะ แต่พออ่านแล้วยังตัดสินใจไม่ได้ว่าทำเลนี้ควรเปิดไหม เพราะข้อมูลสำคัญ (ค่าเช่า คนเดินผ่าน คู่แข่งรอบข้าง) ไม่ครบ กับอีกคนที่ส่งกระดาษยับๆ แต่ข้อมูลครบจนตัดสินใจได้ทันที เถ้าแก่เลือกคนหลังทุกครั้ง เพราะสมุดสวยที่ตัดสินใจไม่ได้ ไม่มีค่าเท่ากระดาษยับที่พาไปสู่คำตอบ
มุมผู้ตรวจ (คนสอบ): ตั้งบันไดในหัวไว้เลย เจอคำถาม “อะไรสำคัญที่สุดต่อคุณภาพกระดาษทำการ” ให้ไล่ทุกตัวเลือกตามลำดับนี้ — มันรองรับผล/conclusion ด้วยข้อมูลที่พอเพียงและเชื่อถือได้ไหม ถ้าใช่ นั่นคือคำตอบ ตัวเลือกที่พูดถึง format มาตรฐาน, indexing, การเรียงลำดับ, ความกระชับ, ความเป็นระเบียบ ล้วนพึงประสงค์แต่ไม่เคยเป็นหัวใจ พอมีตัวเลือกเรื่องเนื้อหาโผล่มาให้ตัดพวกนี้ทิ้ง
เก็บเฉพาะที่เกี่ยวข้อง: “ทุกอย่าง” คือคำตอบผิด
พอเข้าใจว่าหัวใจคือความพอเพียงแล้ว โจทย์ต่อมาคือ แล้วต้องเก็บมากแค่ไหน คนเรียนใหม่ๆ มักจะคิดว่า “เก็บให้หมดไว้ก่อนเพื่อความปลอดภัย” — ซึ่งเป็นกับดักโดยตรงเลย หลักการคือกระดาษทำการควรจำกัดอยู่แค่ข้อมูลที่ material และ relevant ต่อ finding และ conclusion เท่านั้น เก็บเฉพาะสิ่งที่ประเมิน risk ของ objective จริงๆ ไม่ใช่กองทุกอย่างเข้าแฟ้ม
⚠️ กับดัก: ตัวลวงคลาสสิคของหมวดนี้คือคำที่ครอบจักรวาล — “เก็บทุกแบบฟอร์มและคำสั่งที่ฝ่ายบริหารใช้”, “สำเนาทั้งหมดของเอกสารต้นทางที่ตรวจ”, “รายการขั้นตอนทุกอันที่สอบทาน”, “รายชื่อทุกเครื่องคอมพิวเตอร์” ทั้งหมดนี้คือการเตรียมกระดาษทำการที่ไม่เหมาะสม พอเจอคำว่าทุก/ทั้งหมด/สำเนาครบทุกใบ ในบริบทของ “ควรเก็บอะไร” ให้สงสัยไว้ก่อนว่ามันคือตัวลวง
⚠️ กับดัก: อีกแบบที่แนบเนียนกว่าคือ ข้อมูลที่ใกล้เคียงแต่ไม่ตรงเรื่อง เช่น กระดาษทำการที่ทำเรื่องต้นทุนบำรุงรักษา แต่กลับใส่ยอดต้นทุนซื้อสินทรัพย์รวมทั้งก้อนเข้าไป ก็ไม่จำเป็น เพราะไม่ได้วัด objective ที่ตั้งไว้ หรือภารกิจเรื่องความเสี่ยง/exposure แต่ดันไปเก็บใบยืนยันการจ่ายเคลมทั้งหมด — ทั้งที่สิ่งที่ควรเก็บคือการวิเคราะห์เคลมแยกตามประเภทอุปกรณ์และระดับการใช้งาน ต่างหาก และถ้าโจทย์ถามว่าอะไร ไม่เหมาะสม/ไม่จำเป็น คำตอบคือตัวที่เก็บเกินหรือหลุดประเด็นนั่นแหละ
มีอีกสองประเด็นย่อยที่ชอบพ่วงมาในหมวดนี้ อย่างแรกคือ บันทึกดิบๆ เช่นโน้ตสัมภาษณ์เบื้องต้นของเด็กฝึกงาน พอสรุปสาระสำคัญเข้ากระดาษทำการแล้ว ตัวโน้ตดิบทิ้งได้ ไม่ต้องเก็บ อย่างที่สองคือเรื่อง permanent workpapers (แฟ้มถาวร) เนื้อหาที่ควรอยู่ในนี้คือข้อมูลที่ไม่ค่อยเปลี่ยนจากปีต่อปี อย่างเรื่องการควบคุมด้านการบริหารจัดการที่ใช้ซ้ำได้ ไม่ใช่ตัว work program, test data หรือกระดาษของปีก่อนที่แก้แล้ว และของที่ยกยอดมาแบบนี้ ผู้ตรวจก็ยังต้องทำงานร่วมกับฝ่ายบริหารของ activity under review (หน่วยงานที่กำลังถูกตรวจ) เพื่อยืนยันว่ายังถูกต้องและอัปเดตเมื่อจำเป็นด้วย
มุมเถ้าแก่/สภา: อุปมาเหมือนเถ้าแก่ที่ชอบเก็บใบเสร็จทุกใบตลอดสิบปีจนตู้เอกสารล้น พอถึงเวลาต้องหาใบสำคัญจริงๆ กลับหาไม่เจอเพราะมันจมอยู่ในกองที่ไม่เกี่ยว การเก็บทุกอย่าง “เผื่อไว้” ไม่ได้ทำให้ปลอดภัยขึ้น มันแค่ทำให้ของสำคัญหายากขึ้นและเปลืองที่ กองผู้ตรวจที่เก็บเฉพาะของที่ใช้ได้จริงต่างหากที่ปกป้องเถ้าแก่ได้เร็วในวันที่ต้องใช้
มุมผู้ตรวจ (คนสอบ): ถามตัวเองกับทุกตัวเลือกว่า สิ่งนี้ material และ relevant กับ objective ของภารกิจนี้และ finding ของมันไหม ถ้าใช่และมันขับ finding ให้เกิด → เก็บ (มักเป็นคำตอบที่ถูกในโจทย์ปกติ) ถ้าเป็นบัญชีที่หลุดประเด็น หรือเป็น “ทั้งหมด/ทุกใบ” โดยไม่สนความเกี่ยวข้อง → ตัดออก (และนี่คือคำตอบในโจทย์แบบ “อันไหนไม่เหมาะสม”)
Indexing กับ cross-reference: ทำดัชนีเพื่อสอบทาน ไม่ใช่เพื่อค้ำจุน
หมวดนี้คนตอบพลาดเพราะเดาความหมายผิด — ไปคิดว่าการทำดัชนีกับการโยงอ้างอิงมีไว้เพื่อ “ทำให้รายงานน่าเชื่อ” หรือ “พิสูจน์ว่างานครบ” ซึ่งไม่ใช่เลย Indexing (การทำดัชนี) เปิดทางให้ cross-referencing (การโยงอ้างอิงข้ามกระดาษ) เกิดได้ และเหตุผลที่มันสำคัญคือมัน สร้างร่องรอยของรายการที่เกี่ยวเนื่องกัน ทำให้การสอบทานของหัวหน้าง่ายขึ้น ทั้งระหว่างภารกิจและภายหลัง ผู้ตรวจควรมีระบบ cross-reference ที่นิยามความสัมพันธ์ระหว่าง finding, conclusion, recommendation และข้อเท็จจริงที่เกี่ยวข้อง
จุดที่ต้องแยกให้ขาดคือ cross-referencing มัน อาศัย indexing เป็นฐาน ฉะนั้นถ้าโจทย์ถามว่าอะไรคือวิธี พื้นฐานที่สุด ในการช่วยการสอบทาน คำตอบคือ indexing เพราะการโยงอ้างอิงต้องมีดัชนีก่อนถึงจะโยงได้ และนอกจากช่วยสอบทานแล้ว cross-reference ยังช่วยเวลาโดนท้าทาย conclusion เพราะชี้กลับไปที่หลักฐานต้นทางได้ทันที แถมช่วยการเตรียมรายงานฉบับสุดท้าย ภารกิจครั้งต่อไปของหน่วยงานเดิม และการประเมินคุณภาพทั้งภายในและภายนอกของ function อีก
⚠️ กับดัก: ตัวลวงจะพยายามยัดหน้าที่ของ การสอบทาน มาเป็นหน้าที่ของ indexing เช่นบอกว่า indexing มีไว้เพื่อ “ค้ำจุน (support) รายงานฉบับสุดท้าย” หรือ “พิสูจน์ว่ากระดาษทำการรองรับ finding เพียงพอ” สองอันนั้นคือ เป้าหมายของการสอบทาน ไม่ใช่จุดประสงค์ของ indexing และระวังคำสุดขั้วอย่าง “indexing ช่วย เลิก ทำ follow-up review ได้” — ผิด เพราะ follow-up ถูกขับด้วยสภาพความเสี่ยง ไม่ใช่ด้วยสถานะของกระดาษทำการ
⚠️ กับดัก: โจทย์แบบ “ทำยังไงเมื่อเจอว่า cross-reference หาย” มีตัวลวงที่ล่อให้ “จัดการเร็วๆ” เต็มไปหมด ทั้ง “ลบ cross-reference ที่เหลือทิ้ง”, “เดาเลขอ้างอิงเอา”, “สมมติว่าเรื่องนั้นไม่สำคัญ”, หรือ”ค่อยเติมตอนทำรายงานฉบับสุดท้าย” — ผิดทั้งหมด คำตอบที่ถูกเสมอคือ สอบทานกระดาษทำการที่เกี่ยวข้อง แล้วเติม cross-reference ให้ถูกต้องตาม format ที่ควรจะเป็น ไม่ลบ ไม่เดา ไม่เมิน ไม่เลื่อน และเวลาโจทย์ถามว่าอะไรสำคัญที่สุดในการยืนยัน conclusion เรื่องข้อบกพร่องของการควบคุม คำตอบก็คือ การ cross-reference finding ไปยังกระดาษทำการที่เกี่ยวข้อง นั่นเอง
มุมเถ้าแก่/สภา: อุปมาเหมือนเถ้าแก่ทำบัญชีร้านที่มีเลขหน้าและสารบัญ พอผู้จัดการสาขาเถียงว่า “ยอดนี้ไม่จริง” เถ้าแก่พลิกไปหน้าที่โยงไว้แล้วชี้ใบเสร็จต้นทางให้ดูได้ทันที การเถียงจบตรงนั้น ระบบดัชนีที่ดีไม่ได้ทำให้บัญชี “ถูกต้องขึ้น” (บัญชีถูกอยู่แล้ว) แต่มันทำให้ พิสูจน์ความถูกต้องได้เร็ว เมื่อโดนท้าทาย นั่นคือคุณค่าจริงของการทำดัชนี
มุมผู้ตรวจ (คนสอบ): กฎง่ายๆ — ถ้าโจทย์เกี่ยวกับ indexing/cross-referencing ให้เลือกตัวเลือกที่พูดถึง การสร้างร่องรอยเพื่อการสอบทาน / ทำให้หัวหน้าสอบทานง่ายขึ้น / โยง finding กลับไปหาหลักฐาน / ใช้โต้แย้งด้วยข้อเท็จจริง ตัดตัวเลือกที่ทำให้ indexing กลายเป็นตัว ค้ำจุนรายงาน, เลิก follow-up หรือ พิสูจน์ความเพียงพอ ทิ้งไป เพราะสามอย่างนั้นเป็นเรื่องของการสอบทาน ไม่ใช่ของ indexing และถ้าเจอ “วิธีพื้นฐานที่สุด” ตอบ indexing เสมอ
กระดาษทำการทำเพื่อใคร แล้วใครเป็นคนสอบทาน
หมวดนี้สั้นแต่ออกสม่ำเสมอ มีคำตอบที่ต้องปักหมุดสองอัน — ทำเพื่อใคร กับ ใครสอบทาน กระดาษทำการเตรียมขึ้นเพื่อประโยชน์ของ internal audit function เป็นหลัก และสอบทานโดย ฝ่ายบริหารของ internal audit function เอง โดยเฉพาะ engagement supervisor (หัวหน้าคุมภารกิจ) ส่วนฝ่ายอื่นๆ (ผู้สอบบัญชีภายนอก, senior management, audit committee ของ board) ล้วนเป็นผู้ได้ประโยชน์ รอง ไม่เคยเป็นเจ้าของหรือผู้สอบทาน
⚠️ กับดัก: ตัวลวงจะยกฝ่ายภายนอกขึ้นมาเป็น “ผู้ที่กระดาษทำการทำเพื่อเขา” เช่น “เพื่อประโยชน์ของผู้สอบบัญชีภายนอก”, “เพื่อ senior management”, “เพื่อฝ่ายบริหารงานปฏิบัติการ” ทั้งหมดเป็นประโยชน์รองต่อ internal audit function และตัวลวงที่ร้ายกว่าคือ “กระดาษทำการถูกสอบทาน/อนุมัติโดยฝ่ายบริหารของหน่วยงานที่ถูกตรวจ (activity under review)” — ผิดชัดเจน ฝ่ายบริหารงานปฏิบัติการไม่ได้สอบทานหรืออนุมัติกระดาษทำการ และ “audit committee ของ board สอบทานกระดาษทำการ” ก็ผิด เพราะ board เห็นแค่รายงานสรุปสื่อสาร ไม่ใช่ตัวกระดาษทำการ
⚠️ กับดัก: เวลาโจทย์ถามว่า ข้อความไหนเรื่องการสอบทานที่ถูกต้อง หลักฐานจริงของการสอบทานโดยหัวหน้าคือ ผู้สอบทานลงชื่อย่อและวันที่ (initials + date) บนกระดาษทำการแต่ละแผ่น หรือ e-approve ไม่ใช่การเซ็นรับรองของฝ่ายบริหาร และไม่ใช่การเก็บ review note ทุกใบไว้ (review note เก็บไว้จนหมดหน้าที่แล้วทิ้งได้ หลักฐานการสอบทานที่แท้จริงมีสามอย่าง — ชื่อย่อของผู้สอบทานบนแต่ละแผ่น, checklist การสอบทาน, และบันทึกสรุปลักษณะ ขอบเขต และผลของการสอบทาน)
มุมเถ้าแก่/สภา: ลองคิดดูนะครับ ถ้ากระดาษทำการต้องให้ฝ่ายที่ถูกตรวจเป็นคนเซ็นรับรอง มันก็เหมือนให้จำเลยเซ็นรับรองสำนวนของผู้สอบสวนเอง — ความน่าเชื่อถือหายวับทันที กระดาษทำการเป็นของกองผู้ตรวจ สอบทานกันเองภายในกอง เพื่อให้เถ้าแก่มั่นใจได้ว่างานถูกกลั่นกรองโดยคนที่เป็นกลางต่อเรื่องที่ตรวจ ไม่ใช่โดยคนที่มีส่วนได้เสียกับผลตรวจ
มุมผู้ตรวจ (คนสอบ): ท่องสองบรรทัด — ทำเพื่อ → internal audit function และ สอบทานโดย → ฝ่ายบริหารของ internal audit / engagement supervisor ฝ่ายภายนอกทุกฝ่ายคือผู้ได้ประโยชน์รอง ไม่ใช่ผู้สอบทานหรือผู้อนุมัติ ตัดทิ้งได้ทันที และถ้าถามหาหลักฐานการสอบทาน มองหา ลงชื่อย่อ+วันที่ อีกอันที่พ่วงมาบ่อยคือ ถ้าเจอความคลาดเคลื่อนในงาน ขั้นแรกคือ สอบทานกระดาษทำการก่อนว่าบันทึกความคลาดเคลื่อนนั้นครบพอไหม ก่อนจะไปรายงาน CAE
การเก็บรักษา: ผูกกับประโยชน์และกฎหมาย ไม่ใช่ตัวเลขตายตัว
มาถึงกลุ่มเรื่องการสอบทาน การควบคุม และการเก็บรักษา เริ่มที่การเก็บรักษา (retention) ก่อน เพราะมันมีกับดักตัวเลขที่ล่อใจมาก หลักการมีสองคานอีกแล้ว — ใคร เป็นคนตั้งนโยบาย กับ นานแค่ไหน
เรื่องใคร คนที่พัฒนานโยบายการเก็บรักษาคือ CAE โดยตั้งนโยบายเป็นลายลักษณ์อักษร บนพื้นฐานของการปรึกษา legal counsel (ที่ปรึกษากฎหมาย) ให้สอดคล้องทั้งความต้องการขององค์กรและข้อกำหนดทางกฎหมายของเขตอำนาจที่องค์กรดำเนินงาน ไม่ใช่ audit committee เป็นคนทำ ไม่ใช่ผู้สอบบัญชีภายนอกอนุมัติ ไม่ใช่หน่วยงานกำกับพัฒนาให้ — CAE พัฒนา, legal counsel อนุมัติ/ให้คำปรึกษา
เรื่องนานแค่ไหน ระยะเวลาต้องผูกกับ ประโยชน์ใช้สอย + กฎหมาย/กฎระเบียบ + ความต้องการขององค์กร ค่าที่มักใช้เมื่อไม่มีข้อกำหนดกฎหมายเฉพาะคือ 7 ปี แต่ CAE กำหนดให้นานกว่านั้นได้ตามความจำเป็นทางกฎหมายหรือธุรกิจ จุดสำคัญคือมันไม่ใช่ตัวเลขศักดิ์สิทธิ์ และกระดาษทำการ รวมถึงกระดาษของการสอบสวนการทุจริต (fraud) พอหมดประโยชน์แล้วก็ควรถูกทำลาย ส่วนที่ยังมีค่าต่อเนื่องก็ยกไปไว้ในกระดาษปัจจุบันหรือแฟ้มถาวร
⚠️ กับดัก: ตัวลวงเรื่องใครจะสลับเจ้าของ เช่น “audit committee เป็นคนจัดทำ”, “ผู้สอบบัญชีภายนอกอนุมัติ”, “หน่วยงานกำกับพัฒนานโยบาย” — ผิด CAE พัฒนา legal counsel อนุมัติ ตัวลวงเรื่องระยะเวลาที่ร้ายที่สุดคือคำสุดขั้วสองแบบ อย่างแรก “กำหนดขั้นต่ำตายตัว 3 ปี” (ตัวเลขตายตัวโดยพลการ ผิด เพราะระยะเวลาตามประโยชน์+กฎหมาย) อย่างที่สอง “เก็บกระดาษทำการไว้ตลอดกาล” หรือ “เก็บกระดาษคดีทุจริตไว้ตลอดกาล” ก็ผิดเช่นกัน ไม่มีกระดาษทำการใบไหนเก็บตลอดกาล แม้แต่กระดาษคดีทุจริตก็ยังอยู่ใต้กฎการเก็บรักษา
⚠️ กับดัก: ระวังตัวลวงที่เอาเกณฑ์ผิดๆมากำหนดระยะเวลา เช่น “อ้างอิงค่าเฉลี่ยของบริษัทในอุตสาหกรรมเดียวกัน”, “ตามความชอบของผู้ตรวจแต่ละคน”, หรือ “ตามปริมาณภารกิจที่ผ่านมา” — ไม่มีอันไหนเป็นตัวขับระยะเวลาเลย ตัวขับจริงคือ กฎระเบียบ + นโยบายองค์กร + ความจำเป็นในอนาคต และถ้าโจทย์กลับด้านถามว่า นโยบายไหนไม่เหมาะสม คำตอบที่ต้องเลือกคือ “เก็บกระดาษคดีทุจริตไว้ตลอดกาล” เพราะนั่นคือ practice ที่ผิด
มุมเถ้าแก่/สภา: อุปมาเหมือนเถ้าแก่เก็บเอกสารร้าน ถ้าเก็บสั้นเกินไปพอมีคดีความหรือหน่วยงานภาษีมาตรวจย้อนหลังก็ไม่มีหลักฐานปกป้องตัว แต่ถ้าเก็บทุกอย่างตลอดกาลก็เปลืองที่และเสี่ยงข้อมูลเก่ารั่ว ทางที่ถูกคือถามทนายว่ากฎหมายบังคับให้เก็บนานเท่าไร แล้วตั้งนโยบายให้พอดีกับความจำเป็นนั้น หัวหน้ากองผู้ตรวจเป็นคนวางนโยบายนี้ ไม่ใช่ปล่อยให้แต่ละคนเก็บตามใจ เพราะความไม่สม่ำเสมอนี่แหละที่ทำให้เถ้าแก่เจ็บตัวในวันที่ต้องใช้เอกสาร
มุมผู้ตรวจ (คนสอบ): จำสองคาน — ใคร = CAE พัฒนา, legal counsel อนุมัติ และ นานแค่ไหน = ตามประโยชน์+กฎหมาย ไม่ตายตัว ไม่ตลอดกาล ค่า default ที่มักถูกถามคือ 7 ปีเมื่อไม่มีการสอบสวนพิเศษ ตัดทุกตัวเลือกที่เป็นเลขตายตัวโดยพลการ ที่ให้เก็บ “ตลอดกาล” และที่ให้ฝ่ายอื่นนอกจาก CAE เป็นเจ้าของนโยบาย
Security และการเข้าถึง: กันการแก้ไข ไม่ใช่กันคนดู
ปิดท้ายด้วยเรื่องการควบคุมความปลอดภัยและการเข้าถึง อันนี้มีกับดักเชิงแนวคิดที่ลึกที่สุดในหมวดนี้ คนมักเข้าใจว่า security ของกระดาษทำการมีไว้ “กันคนอื่นไม่ให้เห็น” — ผิดทิศเลยครับ จุดประสงค์หลักของการรักษาความปลอดภัยคือ กันการแก้ไขหรือการย้าย/นำข้อมูลออกโดยไม่ได้รับอนุญาต นั่นคือการรักษา integrity (ความครบถ้วนถูกต้อง) ของกระบวนการตรวจ ลองคิดดูนะ ถ้ากระดาษทำการหาย งานตรวจที่ทำมาก็เท่ากับสูญ ถ้าถูกแก้โดยไม่ได้รับอนุญาต ความน่าเชื่อถือของงานทั้งภารกิจก็พังหมด การเข้าถึงจึงจำกัดไว้เฉพาะบุคคลที่ได้รับอนุญาตเท่านั้น และ CAE ต้องดูแลให้กระดาษทำการปลอดภัย
⚠️ กับดัก: ตัวลวงจะกรอบ security ว่าเป็นเรื่อง กันคนกลุ่มใดกลุ่มหนึ่งออกไป เช่น “ห้ามฝ่ายบริหารงานปฏิบัติการเห็นกระดาษทำการ” (ผิด ฝ่ายบริหารเห็นได้ในสถานการณ์ที่เหมาะสม), “กันการเข้าถึงของบุคคลภายนอก” (เป็นเรื่องรอง CAE คุมการเข้าถึงและปล่อยได้เมื่ออนุมัติ), “ให้เฉพาะพนักงาน internal audit เข้าถึงได้เท่านั้น” — การกันคนไม่ใช่จุดประสงค์หลัก จุดประสงค์หลักคือ กันการเปลี่ยนแปลง/ย้ายข้อมูลโดยไม่ได้รับอนุญาต = รักษา integrity และระวังตัวลวง “ทำลายเอกสารลับทิ้ง” เพราะสิ่งที่ขับการทำลายคือ ความ relevant/ประโยชน์ใช้สอย ไม่ใช่ความลับ ส่วนเป้าหมายอย่าง “เพื่อช่วยภารกิจครั้งหน้า” หรือ “เพื่อช่วยผู้สอบบัญชีภายนอก” ก็เป็นเป้าหมายรองเสมอ
⚠️ กับดัก: เรื่องการโชว์ฝ่ายบริหารมีสองประตูที่ต้องผ่าน ประตูแรกคือ สงสัยว่ามีการทุจริต (fraud) ไหม ถ้าใช่ ห้ามแบ่งปันกับฝ่ายบริหารงานปฏิบัติการเด็ดขาด อันนี้คือจุดหยุดตายตัว ประตูที่สองคือ ถ้าไม่ใช่เรื่องทุจริต แบ่งปันได้เมื่อ objective ของภารกิจจะไม่ถูกกระทบ เพื่อให้ฝ่ายบริหารช่วยประเมินความถูกต้อง ความครบถ้วน หรือความสำคัญของเรื่อง หรือเพื่อวัตถุประสงค์ทางธุรกิจที่ชอบธรรม (เช่นใช้ประกอบการเรียกร้องค่าสินไหมประกัน) แต่ต้องได้รับ การอนุมัติจาก CAE ก่อน ไม่ใช่จากผู้สอบบัญชีภายนอก
⚠️ กับดัก: ตัวลวงชุดนี้เล่นกับคำสุดขั้วสองด้าน ด้านหนึ่งบอก “ห้ามใช้/ห้ามแบ่งปันโดยเด็ดขาด” ซึ่งสุดขั้วเกินไป เพราะแบ่งปันเพื่อวัตถุประสงค์ทางธุรกิจได้ถ้า CAE อนุมัติ อีกด้านบอก “แบ่งปันได้เลยตราบใดที่เนื้อหาไม่มีปัญหา (noncontroversial)” — ผิดตัวกระตุ้น เพราะแม้เนื้อหาไม่มีปัญหา การให้เข้าถึงก็อาจทำให้ฝ่ายบริหารเลี่ยงขั้นตอนได้ ตัวกระตุ้นจริงคือ objective ไม่ถูกกระทบ และถ้าโจทย์ถามว่าอะไร ละเมิด หลักการรักษาความลับ (confidentiality) คำตอบไม่ใช่ “การโชว์ฝ่ายบริหาร” (อันนั้นทำได้เป็นครั้งคราว) แต่เป็น การทำกระดาษทำการหาย/วางผิดที่ ต่างหาก อ้อ และสำเนากระดาษทำการทำให้ลูกค้า/ผู้สอบภายนอกได้ก็ได้ ถ้าไม่กระทบความเป็นอิสระ (independence)
มุมเถ้าแก่/สภา: ลองนึกภาพห้องเก็บสัญญาสำคัญของเถ้าแก่ สิ่งที่เถ้าแก่กลัวที่สุดไม่ใช่ “มีคนแอบเห็นสัญญา” แต่คือ “มีคนแอบไปแก้ตัวเลขในสัญญาแล้วเราไม่รู้” หรือ “สัญญาต้นฉบับหายไปดื้อๆ” เพราะถ้าเนื้อหาถูกแก้หรือหาย ต่อให้ปิดห้องแน่นแค่ไหนก็ไม่มีประโยชน์ กุญแจล็อกห้องจึงมีไว้กันการแก้และการนำออกเป็นอันดับแรก ส่วนเรื่องใครเข้าดูได้เป็นเรื่องรองที่เถ้าแก่ควบคุมเอง และในวันที่ต้องเรียกค่าประกันหรือสู้คดี เถ้าแก่ก็หยิบเอกสารพวกนี้มาใช้ได้ ตราบใดที่ไม่ใช่เรื่องที่กำลังสอบสวนการทุจริตภายในอยู่
มุมผู้ตรวจ (คนสอบ): เจอคำถาม “จุดประสงค์หลัก/การควบคุมที่สำคัญที่สุดของ security” ให้เลือกตัวเลือกที่พูดถึง การกันการแก้ไขหรือการนำข้อมูลออกโดยไม่ได้รับอนุญาต = ปกป้อง integrity ตัดตัวเลือกที่กรอบเป็น การกันกลุ่มใดกลุ่มหนึ่ง หรือ ใครเข้าถึงได้บ้าง ทิ้ง เพราะเป็นเรื่องรอง ส่วนเรื่องการโชว์ฝ่ายบริหาร ใช้สองประตู — ทุจริต = ห้ามเด็ดขาด / ไม่ทุจริต + objective ไม่กระทบ + CAE อนุมัติ = ได้ และจำไว้ว่าสิ่งที่ ละเมิด confidentiality คือการทำเอกสารหาย ไม่ใช่การให้ฝ่ายบริหารดู
ตารางกับดักรวม
| สถานการณ์ | คำตอบหลอก | คำตอบจริง |
|---|---|---|
| อะไรสำคัญที่สุดต่อคุณภาพกระดาษทำการ | format มาตรฐาน / ความเป็นระเบียบ / indexing | ข้อมูล sufficient/reliable/relevant ที่รองรับผล |
| กระดาษทำการ “สมบูรณ์” เมื่อ | ทำตาม format ครบ / ชัด กระชับ แม่นยำ | ตอบ engagement objective ที่มันถูกสร้างมา |
| เกณฑ์ของความ sufficient | ความกระชับ / จำนวน finding / ความสะดวกของคนนอก | relevance + reliability ของข้อมูล |
| กระดาษทำการแบบ standardized มีไว้เพื่อ | ความเป็นมืออาชีพ / เป็นระเบียบ / แม่นยำ | efficiency + consistency |
| ควรเก็บอะไรบ้าง | ทุกแบบฟอร์ม / สำเนาทุกใบ / ทุกขั้นตอน / ทุกเครื่อง | เฉพาะที่ material + relevant กับ objective |
| โน้ตสัมภาษณ์ดิบของเด็กฝึกงาน | เก็บไว้ทั้งหมด | สรุปเข้ากระดาษทำการแล้วทิ้งได้ |
| เนื้อหาของแฟ้มถาวร (permanent file) | work program / test data / กระดาษปีก่อนที่แก้แล้ว | การควบคุมด้านบริหารที่ไม่ค่อยเปลี่ยนรายปี |
| จุดประสงค์หลักของ indexing | ค้ำจุนรายงาน / เลิก follow-up / พิสูจน์ความเพียงพอ | สร้างร่องรอย ทำให้สอบทานง่ายขึ้น |
| วิธีพื้นฐานที่สุดในการช่วยสอบทาน | cross-referencing | indexing (cross-ref อาศัยมัน) |
| เจอ cross-reference หาย | ลบทิ้ง / เดาเลข / เมิน / เลื่อนไปทำตอนรายงาน | สอบทานกระดาษที่เกี่ยวข้อง แล้วเติมให้ถูก |
| กระดาษทำการทำเพื่อใคร | ผู้สอบภายนอก / senior management / ฝ่ายปฏิบัติการ | internal audit function |
| ใครสอบทาน/อนุมัติกระดาษทำการ | ฝ่ายบริหารของหน่วยที่ถูกตรวจ / audit committee | ฝ่ายบริหารของ internal audit / supervisor |
| หลักฐานการสอบทานของหัวหน้า | ฝ่ายบริหารเซ็นรับรอง / เก็บ review note ทุกใบ | ผู้สอบทานลงชื่อย่อ + วันที่ |
| ใครพัฒนานโยบายการเก็บรักษา | audit committee / ผู้สอบภายนอก / หน่วยกำกับ | CAE (legal counsel อนุมัติ) |
| ระยะเวลาเก็บรักษากำหนดจาก | เลขตายตัว (เช่น 3 ปี) / ค่าเฉลี่ยอุตสาหกรรม / ความชอบส่วนตัว | ประโยชน์ + กฎหมาย/กฎระเบียบ + ความจำเป็น |
| นโยบายการเก็บรักษาที่ “ไม่เหมาะสม” | เก็บ 7 ปีตาม CAE กำหนด | เก็บกระดาษคดีทุจริตไว้ตลอดกาล |
| จุดประสงค์หลักของ security | กันฝ่ายบริหาร/คนนอกดู / ให้เฉพาะ IA เข้าถึง | กันการแก้ไข/ย้ายข้อมูล = รักษา integrity |
| โชว์กระดาษทำการให้ฝ่ายบริหาร | ห้ามเด็ดขาด / ได้เลยถ้าเนื้อหาไม่มีปัญหา | ได้ถ้า objective ไม่กระทบ + CAE อนุมัติ |
| กรณีสงสัยทุจริต (fraud) | โชว์ฝ่ายบริหารได้ตามปกติ | ห้ามแบ่งปันกับฝ่ายบริหารเด็ดขาด |
| อะไร “ละเมิด” confidentiality | การโชว์ฝ่ายบริหารเป็นครั้งคราว | การทำกระดาษทำการหาย/วางผิดที่ |
สิ่งที่จดสำหรับวันสอบ
- หัวใจกระดาษทำการ = พอเพียงจนคนใหม่ทำงานซ้ำแล้วได้ผลเดิม (support conclusion) format/ความเป็นระเบียบ = ของรอง
- “สมบูรณ์” = ตอบ engagement objective ไม่ใช่ครบ format · เกณฑ์ sufficient = relevance + reliability
- standardized workpapers มีไว้เพื่อ efficiency/consistency ไม่ใช่ความเป็นมืออาชีพ
- เก็บเฉพาะที่ material + relevant กับ objective · เจอคำว่า “ทุก/ทั้งหมด/สำเนาครบ” = ตัวลวง · โน้ตดิบสรุปแล้วทิ้งได้
- แฟ้มถาวร = ของที่ไม่ค่อยเปลี่ยนรายปี ไม่ใช่ work program/test data/กระดาษปีก่อนที่แก้แล้ว
- Indexing = ร่องรอยเพื่อสอบทาน ไม่ใช่ค้ำจุนรายงาน/เลิก follow-up · วิธีพื้นฐานที่สุด = indexing (cross-ref อาศัยมัน) · เจอ cross-ref หาย = สอบทานแล้วเติมให้ถูก ห้ามลบ/เดา/เมิน
- ทำเพื่อ internal audit function · สอบทานโดย supervisor · หลักฐานสอบทาน = ลงชื่อย่อ+วันที่ (ฝ่ายบริหารไม่อนุมัติ)
- การเก็บรักษา: CAE พัฒนา · legal counsel อนุมัติ · ระยะเวลา = ประโยชน์+กฎหมาย (default 7 ปี) · ไม่ตายตัว ไม่ตลอดกาล (แม้กระดาษ fraud) · “ตลอดกาล” = นโยบายที่ไม่เหมาะสม
- Security = กันการแก้ไข/ย้ายข้อมูล = integrity ไม่ใช่กันคนดู · ที่ ละเมิด confidentiality คือทำเอกสารหาย ไม่ใช่โชว์ฝ่ายบริหาร
- โชว์ฝ่ายบริหาร: ได้ถ้า objective ไม่กระทบ + CAE อนุมัติ · คดีทุจริต = ห้ามเด็ดขาด
มีกระดาษทำการรองรับครบแล้ว คำถามถัดไปคือ จากกองหลักฐานนี้ จะกลั่นเป็นข้อสรุปยังไง ตอนหน้าเราแยก finding (ข้อเท็จจริง) ออกจาก engagement conclusion (ความเห็น) ให้ขาด เทียบ condition กับ criteria หา root cause และวัดความร้ายแรงที่ผลกระทบ ไม่ใช่จำนวนนับ ตอนถัดไป: finding และ conclusion
อ้างอิง: Gleim CIA Review (2026), Part 2 · IIA Global Internal Audit Standards (2024)