สารบัญ
ลองนึกภาพวันสุดท้ายก่อนปล่อยรายงานในอาณาจักรเถ้าแก่ครับ กองผู้ตรวจการเดินสำรวจคลังหลวงมาทั้งเดือน ตอนนี้กระดาษทำการกองสูงเป็นตั้งอยู่บนโต๊ะหัวหน้าทีม รอเซ็นชื่อรับรองก่อนจะส่งม้วนรายงานขึ้นไปให้สภา คำถามคือ ก่อนหัวหน้าทีมจะปล่อยม้วนนั้นออกจากมือ เขาต้องตรวจอะไรบ้าง แล้วพอถึงเวลาส่ง เขาจะเล่าให้ใครฟัง เล่าด้วยปาก เล่าด้วยกระดาษ เล่าแค่ไหน และถ้าระหว่างทางเจอเรื่องที่มันร้ายเกินกว่าจะรอรายงานฉบับเต็ม เขาจะวิ่งไปหาใครก่อน
เอาตรงๆ พอเรียนมาถึงจุดนี้ผมเพิ่งเห็นว่าสองเรื่องนี้ - คุมทีมกับสื่อสาร - มันคือปลายทางของทุกอย่างที่เดินกันมาทั้ง Part จริงๆ ของดีแค่ไหน ถ้าคุมทีมไม่เป็นหรือเล่าไม่เป็น ก็ตกม้าตายตรงเส้นชัยอยู่ดี ตอนนี้เลยเป็นตอนปิด Part 2 ครับ เก็บสองหัวข้อสุดท้ายให้จบ แล้วค่อยถอยกลับไปมองภาพรวมภารกิจทั้งสายว่าเราเดินผ่านอะไรมาบ้าง
ตอนที่แล้วเราแยก finding ออกจาก engagement conclusion กันครับ (ตอนที่ 35) finding คือข้อเท็จจริงที่ทวนซ้ำได้ ส่วน conclusion คือการตีความด้วยดุลพินิจ, ต้องมี criteria ให้เทียบถึงจะสรุปได้, หา root cause ก่อนฟันธง และวัดความร้ายแรงที่ผลกระทบและความเสี่ยง ไม่ใช่จำนวนนับหรือความรู้สึกคน พอได้ข้อสรุปแล้ว ก็เหลืองานสองด้านสุดท้ายที่ห่อหุ้มทั้งภารกิจไว้ คือการคุมทีมและการสื่อสารผล
โครงของบท
- ใครรับผิดชอบการคุมงาน - CAE รับผิดชอบสูงสุดเสมอ แม้มอบหมายให้ engagement supervisor ทำแทน ความรับผิดชอบก็ไม่โอนตาม
- คุมมากคุมน้อยวัดจากอะไร - ความชำนาญของทีม + ความซับซ้อนของงาน เท่านั้น และเจอปัญหาระหว่างทางต้องแก้ทันที
- รีวิว workpapers และ conclusion - ต้องมีหลักฐานเขียนรองรับ พูดเก่งไม่พอ และหลักฐานว่ารีวิวแล้วคือเซ็นชื่อย่อ เช็กลิสต์ บันทึกรีวิว
- ประเมินทีม - ผิดแล้วต้องสอน ไม่ใช่ลงโทษ และการประเมินต้องเจาะจง มีหลักฐาน ไม่ลำเอียง
- สื่อสารยังไง เมื่อไหร่ - เร่งด่วนพูด บันทึกเขียน, exit conference ไว้ยืนยันข้อตรวจพบ, รายงานต้องมีวัตถุประสงค์-ขอบเขต-ข้อสรุป
- เรื่องไหนต้อง escalate ถึงใคร - แจ้งผู้บริหารก่อน ถ้าไม่จบค่อยถึงสภา แต่ถ้าผู้บริหารระดับสูงเอี่ยวเอง ให้ตรงถึงสภาเลย
- ปิด Part - recap เส้นทางทั้งสาย + ตารางกับดักรวม + สะพานข้าม Part 3
การคุมงาน กับคำถามที่ข้อสอบชอบดักตั้งแต่ต้น: ใครรับผิดชอบ
เริ่มจากภาพในหัวก่อนครับ เถ้าแก่จ้างหัวหน้ากองผู้ตรวจการมาคนหนึ่ง แล้วหัวหน้ากองก็แบ่งงานให้ลูกทีมไปตรวจตามสาขา ทีนี้ถ้าลูกทีมคนหนึ่งตรวจพลาด คลังสาขานั้นรั่วแล้วดันไม่เจอ - เถ้าแก่จะไปทวงกับใคร
คำตอบตาม the Standards คือ ผู้บริหารตรวจสอบภายใน (chief audit executive หรือ CAE) รับผิดชอบสูงสุดในการกำกับดูแล (supervision) ทุกภารกิจ และทุกดุลยพินิจทางวิชาชีพที่สำคัญ ไม่ว่างานนั้นจะทำโดยทีมภายในหรือจ้าง service provider ข้างนอกมาทำ ความรับผิดชอบสูงสุดอยู่ที่ CAE เสมอ จุดที่ต้องจำให้ขึ้นใจคือ CAE มอบหมาย (delegate) งานกำกับดูแลให้ engagement supervisor - คนที่เราจะเรียกว่าหัวหน้าทีมตรวจ - ได้ก็จริง แต่การมอบหมายไม่ใช่การโอนความรับผิดชอบ งานย้ายมือได้ ความรับผิดชอบไม่ย้ายตาม
มุมเถ้าแก่/สภา - เรื่องนี้ดีต่อการนอนหลับของเจ้าขององค์กรมากครับ เพราะมันแปลว่ามีคนเดียวที่ต้องรับผิดชอบภาพรวมทั้งหมด เถ้าแก่ไม่ต้องไล่ทวงทีละคน มีปัญหาที่กองตรวจ ทวง CAE คนเดียวจบ
มุมผู้ตรวจ (คนสอบ) - นี่คือกับดักเบอร์หนึ่งของ SU นี้เลยครับ ข้อสอบจะเสนอตัวเลือกแบบ “engagement supervisor / engagement manager มีความรับผิดชอบสูงสุด (ultimate/primary)” มาเป็นคำตอบที่ดูเข้าท่าที่สุด เพราะคนคนนั้นคือคนคุมงานหน้างานจริง แต่มันผิดเสมอ CAE ต่างหากที่รับผิดชอบสูงสุด อีกมุมที่พลิกกลับด้าน ข้อสอบชอบถามว่า “งานไหนที่ CAE ทำ แต่ supervisor ไม่ทำ” - งานที่ใช่คือการจัดทำ ตารางภารกิจแบบ risk-based (risk-based engagement schedule) แล้วนำเสนอต่อสภา (board) อันนี้เป็นงานของ CAE เท่านั้น ไม่ใช่ทักษะระดับหัวหน้าทีม
⚠️ กับดัก: เห็นคำว่า “ultimate” หรือ “primary responsibility” คู่กับ “engagement supervisor” หรือ “manager” - ตัดทิ้งได้เลย ถูกก็ต่อเมื่อเป็น CAE ส่วนถ้าถามกลับด้านว่า “อะไรที่ CAE ทำแต่ supervisor ไม่ทำ” ให้มองหาตารางภารกิจ risk-based ที่เสนอต่อสภา ส่วนการรีวิว work program / workpapers / รายงาน กลายเป็นตัวลวงแทน
คุมมากคุมน้อย วัดจากสองอย่างเท่านั้น
ทีนี้พอมอบงานแล้ว คำถามถัดมาคือ คุมแค่ไหน ตาม the Standards ปริมาณการกำกับดูแลที่จำเป็นขึ้นอยู่กับ สองอย่างเท่านั้น คือ ความชำนาญและประสบการณ์ของผู้ตรวจสอบภายใน (proficiency + experience) กับความซับซ้อนของภารกิจ (complexity) ทีมอ่อนหรืองานยาก - คุมใกล้ชิดขึ้น ทีมเก๋าและงานง่าย - ก็คุมห่างลงได้
มุมผู้ตรวจ (คนสอบ) - กับดักที่นี่คือข้อสอบจะโยน “ตัวขับ” อื่นๆ ที่ฟังดูสำคัญเข้ามา เช่น มีความเสี่ยงว่าผู้บริหารทุจริต (fraud) หรืออาจมีการละเมิดกฎหมาย หรือทีมเคยตรวจแผนกนี้มาก่อนแล้ว - ของพวกนี้ ไม่ ได้กำหนดปริมาณการกำกับดูแล อีกกับดักที่เนียนกว่านั้น “ทีมเก๋าแล้ว เลยไม่ต้องกำกับ” - ผิด ต่อให้ทีมเก๋าแค่ไหนก็ยังต้องมีการกำกับดูแล เปลี่ยนแค่ระดับ ไม่ใช่ตัดทิ้ง และถ้าเจอเคสผู้ตรวจใหม่ถูกส่งไปตรวจเรื่องยาก คำตอบที่ถูกคือ “เหมาะสมได้ก็ต่อเมื่อมีหัวหน้าที่เชี่ยวชาญคุมใกล้ชิด” ไม่ใช่ “ไปรีวิวรายงานฉบับเต็มทีเดียวตอนจบ” เพราะการกำกับดูแลมันมากกว่าการมานั่งอ่านของสำเร็จตอนท้าย
⚠️ กับดัก: ตัวเลือกที่บอกว่าปริมาณการกำกับขึ้นกับความเสี่ยงทุจริต กฎหมาย หรือประวัติแผนก - ผิดหมด มีแค่ proficiency + complexity และ “ทีมเก่งเลยไม่ต้องกำกับ” ก็ผิด หัวหน้าที่เก่งคุมใกล้ชิดชดเชยผู้ตรวจมือใหม่ได้ แต่การรีวิวรายงานตอนจบทดแทนการกำกับระหว่างทางไม่ได้
เจอปัญหาระหว่างทาง แก้ทันที
หัวใจของ SU 13.1 อีกอันที่ข้อสอบออกซ้ำๆ คือ พอกำกับดูแลไปแล้วเจอปัญหากลางคัน จะทำยังไง คำตอบสั้นมากครับ - แก้เดี๋ยวนั้น ไม่ใช่จดไว้ไปเขียนในรายงานฉบับสุดท้าย และไม่ใช่ “ทำตามแผนเดิมต่อไป”
ลองไล่ตามชนิดปัญหาดูครับ ถ้าพบว่าวัตถุประสงค์ของภารกิจไม่สอดคล้องกับกลยุทธ์ใหม่ของสภา หรือการประเมินความเสี่ยงตอนวางแผนต่ำเกินจริง - ปรับแผน/ปรับวัตถุประสงค์ทันที หรือปรึกษา CAE เพื่อนิยามใหม่ ถ้าเจอผู้ตรวจมือใหม่ที่ยังไม่เคยทำ work program - รีวิวและอนุมัติ work program ให้เขาก่อนลงมือ ถ้าลูกทีมทำงานยากไม่ไหว - โค้ช ให้คำแนะนำ ปรับงานให้พอดีกับความสามารถ หรือจับคู่กับคนที่รู้เรื่องมากกว่า ที่สำคัญคือ พัฒนาเขา ไม่ใช่ถอดเขาออก และถ้างานล่าช้าเพราะแบ่งภาระไม่เท่ากัน - ไปแก้ที่รากคือจัดสรรงานใหม่ ไม่ใช่สั่งให้ทำงานล่วงเวลายาวขึ้น
มุมเถ้าแก่/สภา - ปรัชญานี้ช่วยประหยัดเงินเถ้าแก่จริงๆ เพราะการแก้ปัญหาตอนมันยังเล็กระหว่างทาง ถูกกว่าปล่อยให้บานปลายจนต้องรื้อรายงานทั้งฉบับตอนจบ และการโค้ชลูกทีมแทนที่จะไล่ออก ก็คือการรักษาคนเก่งที่ลงทุนฝึกมาแล้วให้อยู่กับองค์กร
⚠️ กับดัก: “จดความไม่สอดคล้องไว้ในรายงานฉบับสุดท้าย” หรือ “แจ้งสภาหลังจบงาน” - การรายงานไม่ใช่การแก้ไข อีกกลุ่มคือ over-react กับคน “ย้ายออก ถอดออก เปลี่ยนคนทันที” - ข้ามขั้นการกำกับและพัฒนา และการแก้แค่อาการ เช่นเลื่อน deadline ให้งานที่ล่าช้าเพราะภาระไม่เท่ากัน โดยไม่แก้รากที่การจัดสรรงาน
รีวิว workpapers และ engagement conclusion
ข้ามมา SU 13.2 ครับ พอทีมตรวจเสร็จ หัวหน้าทีมต้องนั่งรีวิวกระดาษทำการทุกแผ่น เพื่อยืนยันว่าข้อตรวจพบและ engagement conclusion (ข้อสรุปของภารกิจ - เดิมหลายเล่มเรียก opinion แต่ศัพท์ที่ใช้คือ conclusion) มันมีหลักฐานรองรับจริงๆ
จุดที่ข้อสอบชอบดักที่สุดคือเรื่อง “พูดเก่งไม่พอ ต้องมีในกระดาษ” ลองนึกภาพลูกทีมเดินมาบอกหัวหน้าว่า “พี่ ข้อสรุปนี้ผมมั่นใจนะ อธิบายด้วยปากได้เลย” - ตาม the Standards ข้อสรุปต้องมีหลักฐานที่เพียงพอและ บันทึกเป็นลายลักษณ์อักษร (documented, written) รองรับก่อน ถึงจะสรุปงานได้ คำอธิบายปากเปล่า ประสบการณ์ของคนทำ ความน่าเชื่อว่าน่าจะจริง หรือการติ๊กว่า review note นี้ “จัดการแล้ว” - ไม่มีอันไหนแทนหลักฐานที่เขียนไว้ได้เลย
มุมผู้ตรวจ (คนสอบ) - เมื่อ workpaper ไม่มีหลักฐานพอ ทางที่ถูกคือ สั่งให้ลูกทีมกลับไปอัปเดตกระดาษทำการ/หาหลักฐานเพิ่ม จนทุกข้อตรวจพบและข้อสรุปมีของรองรับ ก่อนจะอนุมัติ สิ่งที่ห้ามทำคือ อนุมัติทั้งอย่างนั้น หรือ “ลบข้อสรุปที่ไม่มีหลักฐานทิ้งไปเลย” เพราะการลบทิ้งดูเรียบร้อยดีก็จริง แต่มันทำให้ประเด็นจริงหายไป แก้ด้วยการหาหลักฐาน ไม่ใช่ลบ
⚠️ กับดัก: “เชื่อดุลยพินิจ/คำอธิบายปากของผู้ตรวจ” หรือ “อนุมัติเพราะเขาเก๋า/ข้อสรุปฟังดูสมเหตุผล” - ประสบการณ์กับความน่าเชื่อไม่แทนหลักฐาน และ “ลบข้อสรุปที่ไม่มีหลักฐานออกจากรายงาน” - ทิ้งประเด็นจริง คำตอบคือส่งกลับไปหาหลักฐานที่จับต้องได้เสมอ
หลักฐานว่า “รีวิวแล้ว” หน้าตาเป็นยังไง
อีกครึ่งของ SU 13.2 ที่ข้อสอบชอบออกคือ พอหัวหน้ารีวิวเสร็จ จะพิสูจน์ยังไงว่ารีวิวจริง คำตอบตาม the Standards มีสามอย่าง - ลงชื่อย่อ (initials) พร้อมวันที่บนกระดาษทำการ, เช็กลิสต์รีวิว (review checklist) ที่เป็นมาตรฐาน, และ บันทึกรีวิว (review memorandum) ที่เล่าลักษณะ ขอบเขต และผลการรีวิว
มุมผู้ตรวจ (คนสอบ) - กับดักคลาสสิคคือ ข้อสอบเอา “การประเมินผลงาน (performance appraisal) ที่ประเมินคุณภาพกระดาษทำการ” มาล่อ - อันนี้ใช้ประเมิน ตัวคน ได้ แต่ ไม่ใช่ หลักฐานว่ากระดาษทำการของภารกิจนั้นๆ ถูกรีวิว เช่นเดียวกับ “บอก CAE ด้วยปากว่ารีวิวเสร็จแล้ว” หรือ “ส่งอีเมลบอกลูกทีมว่ากระดาษดูเรียบร้อยดี” - ของพวกนี้ไม่เหลืออะไรไว้บนกระดาษทำการ และถ้าข้อสอบถามกลับด้านว่า “อะไรบ่งชี้ว่าหัวหน้า ไม่ได้ ทำหน้าที่รีวิว” คำตอบคือการ ไม่มีลายชื่อย่อของผู้รีวิว ส่วนจุดอ่อนอื่นๆ เช่นไม่มีรายการความเสี่ยง ไม่มีข้อเสนอแนะ ไม่เกี่ยวกับการพิสูจน์ว่ารีวิวเกิดขึ้นจริง
⚠️ กับดัก: performance appraisal ประเมินคน ไม่ใช่หลักฐานการรีวิวภารกิจ และ initials / checklist / memo เท่านั้นที่ใช้ได้ ส่วนปากเปล่า อีเมล หรือการประเมินประจำปี - ไม่พอ ถ้าถามหาสิ่งที่ขาด คำตอบคือ “ไม่มีลายชื่อย่อ”
หนึ่งเส้นแบ่งที่ต้องคมคือ supervision ไม่ใช่ planning และไม่ใช่ HR งานอย่างการกำหนดขอบเขต (scope) การจัดคน (staffing) การร่าง work program เบื้องต้น - พวกนี้เป็นงานตอนวางแผน ส่วนการประเมินผลงานอย่างน้อยปีละครั้ง - เป็นการบริหารทรัพยากรบุคคลของ function ไม่ใช่การกำกับดูแลภารกิจเฉพาะเรื่อง ตัว supervision จริงๆ คือ การดำเนินและรีวิวภารกิจ - ดูให้ work program ที่อนุมัติแล้วทำจนครบ (เว้นแต่มีเหตุผลและได้รับอนุมัติให้เปลี่ยน) และดูให้กระดาษทำการรองรับข้อตรวจพบ และถ้าถามว่าอะไรคือ “การกำกับที่ล้มเหลว” คำตอบคือ ผู้ตรวจอาวุโสเบี่ยงจาก work program ที่อนุมัติไว้ โดยไม่ได้รับอนุญาต
ประเมินผลงานทีม: สอน ไม่ใช่ลงโทษ
มาถึง SU 13.3 การประเมินคน หลักคิดง่ายมากครับ ลูกทีมทำพลาด - move แรกของหัวหน้าคือ ให้ feedback และพัฒนา ไม่ใช่ลงโทษ ไม่ใช่แย่งมาทำเอง ไม่ใช่โยนงานให้คนอื่น และไม่ใช่มองข้าม
มุมผู้ตรวจ (คนสอบ) - ข้อสอบจะเรียงตัวลวงมาเป็นกอง กลุ่ม “เอาให้เข็ด” เช่นลงโทษ บันทึกผลประเมินแย่ ตำหนิ, กลุ่ม “โยนงาน” เช่นย้ายให้คนอาวุโส ลดภาระงาน หรือหัวหน้าเขียนใหม่เอง หรือเรียก external audit เข้ามา, กลุ่ม “เฉยไว้” เช่นมองข้ามเพราะ “มันไม่กระทบข้อสรุปอยู่ดี” หรือส่งต่อทั้งอย่างนั้นโดยหวังว่าจะมีคนรีวิวทีหลัง - ทั้งหมดผิด คำตอบที่ถูกคือ ตัวเลือกที่ ระบุข้อผิดพลาดเฉพาะเจาะจงและโค้ชวิธีแก้ เช่นให้ feedback ตรงจุด จัดอบรม หรือนัดคุยทบทวนงานกับคนที่รับผิดชอบ เพราะมันแก้ที่ต้นเหตุและสร้างความสามารถ
มุมเถ้าแก่/สภา - การพัฒนาคนแทนการลงโทษ ระยะยาวคือการสร้างกองผู้ตรวจการที่แข็งแรงขึ้นเรื่อยๆ ทีมที่ถูกฝึกดีก็ตรวจได้ลึกและแม่นขึ้น ซึ่งสุดท้ายก็ย้อนกลับมาปกป้องกระเป๋าเงินเถ้าแก่
การประเมินที่ดี: เจาะจง มีหลักฐาน ไม่ลำเอียง
พอเป็นการประเมินอย่างเป็นทางการ (ซึ่ง the Standards กำหนดให้ทำเป็นลายลักษณ์อักษรอย่างน้อยปีละครั้ง และควรทำเมื่อจบภารกิจใหญ่แต่ละงาน) คุณสมบัติที่ต้องมีคือ เขียนเป็นลายลักษณ์อักษร ประเมินรายบุคคล ระบุทั้งจุดแข็งและจุดที่ต้องพัฒนา และปราศจากอคติกับการพูดกว้างๆ
มุมผู้ตรวจ (คนสอบ) - กับดักที่นี่เยอะมาก กลุ่มวัดตัวเดียว เช่นตัดสินจากความเร็ว หรืออัตราความผิดพลาดอย่างเดียว, กลุ่มประเมินรวมเป็นทีมแทนที่จะประเมินรายคน, กลุ่ม “ประคอง” เช่นพูดแต่ข้อดี กลบจุดอ่อนเพราะกลัวเสียกำลังใจ, กลุ่มอคติ เช่นเอาชื่อเสียงปีก่อนมาชั่ง หรือให้เพื่อนร่วมงานเปรียบเทียบกันเอง โดยเฉพาะกับดัก halo bias - การปล่อยให้จุดเด่นเรื่องหนึ่งไปเหมาเอาว่าเรื่องอื่นดีตามไปด้วย และกลุ่ม “ไม่บันทึก” เช่นบอกด้วยปากเงียบๆ ไม่มีเอกสาร ถ้าข้อสอบถามกลับด้านว่า “วิธีไหนไม่เหมาะสม” คำตอบมักคือ “ใช้การพูดกว้างๆ (generalizations)” ส่วนการแจ้งล่วงหน้า ใช้ภาษาที่เป็นกลาง และบันทึกไว้ - ล้วนถูกต้อง
⚠️ กับดัก: ประเมินด้วยตัวเลขตัวเดียว ประเมินรวมทั้งทีม เอาชื่อเสียงเก่ามาชั่ง หรือพูดแต่ข้อดี - ผิดหมดเพราะไม่ครบหรือลำเอียง ที่ถูกคือเจาะจง มีหลักฐาน รายคน สมดุลทั้งจุดแข็งและจุดพัฒนา ถ้าถามหาข้อ “ไม่เหมาะสม” ให้พลิกไปเลือกพฤติกรรมกว้างๆ/ลำเอียง
จำอีกอันที่ข้อสอบชอบสลับให้งง - งาน HR ของ CAE มันมีหลายช่องและแต่ละช่องมีจังหวะเวลาต่างกัน การ จ้างงาน ไว้เข้าใจภูมิหลังพนักงาน (การศึกษา ประสบการณ์ ความเชี่ยวชาญเฉพาะ), การ ประเมินทักษะ (skills assessment อย่างน้อยปีละครั้ง) ไว้ดูว่ามีทรัพยากรอะไรพร้อมใช้, การ ประเมินผลงาน (appraisal เมื่อจบภารกิจใหญ่) ไว้ประเมินความต้องการฝึกอบรมในอนาคตและความสามารถปัจจุบัน ส่วน ฐานข้อมูล แค่เก็บข้อมูลเฉยๆ ข้อสอบชอบสลับจังหวะเวลา เช่น “ประเมินทักษะตอนจบทุกภารกิจ” หรือ “ประเมินผลงานอย่างน้อยปีละครั้ง” - จังหวะผิด และชอบเสนอ “จ้างข้างนอก/outsource” เป็นคำตอบของ “ระบุทรัพยากรที่มี” - ผิด เพราะการจ้างข้างนอกคือการตัดสินใจไม่ใช้ทรัพยากรภายใน ไม่ใช่การระบุว่ามีทรัพยากรอะไรอยู่
การสื่อสาร: เร่งด่วนพูด บันทึกเขียน
ข้ามมา SU 14 ครับ ของดีแค่ไหน ถ้าเล่าไม่เป็นก็จบ วัตถุประสงค์ของการสื่อสารภารกิจมีสามอย่าง - บอก (ให้รู้ว่าเจออะไร), โน้มน้าว (ให้ผู้บริหารเชื่อในคุณค่าและความถูกต้องของข้อตรวจพบ), และ ทำให้เกิดผล (ผลักผู้บริหารไปสู่การเปลี่ยนแปลง) และตัววัดว่าการสื่อสารได้ผลจริงคือ พฤติกรรมของผู้รับเปลี่ยนไปในทิศที่ต้องการแค่ไหน - ซึ่งแปลว่าผู้ส่งสารต้อง ขอ feedback กลับมาเสมอ จะได้รู้ว่าสารถึงจริงไหม
ก่อนเข้าเส้นแบ่ง ขอปูอีกนิดว่าการสื่อสารในองค์กรมีสองสาย - เป็นทางการ (formal) วิ่งผ่านช่องทางการขององค์กร เช่นบันทึกข้อความ คู่มือ งบประมาณ กับ ไม่เป็นทางการ (informal) ที่คนวงการเรียกกันว่า grapevine หรือ “ข่าวลือปากต่อปาก” ตัว grapevine เร็วก็จริงและบางทีก็แม่น แต่ข้อกังวลคือข้อมูลอาจไปไม่ถึงคนที่ควรได้รับ และถูกใช้ปล่อยข่าวลือได้ ผู้บริหารลดผลเสียได้ด้วยการป้อนข้อมูลที่ถูกต้องและทันเวลาผ่านช่องทางเป็นทางการ อีกเรื่องที่ควรจำเบาๆ คือจำนวนคู่สนทนาต่างกันตามชนิดงาน - งาน advisory (การให้คำปรึกษา) มีสองฝ่าย คือผู้ตรวจที่ให้คำแนะนำกับผู้บริหารที่ขอรับ ส่วนงาน assurance (การให้ความเชื่อมั่น) มีสามฝ่าย คือผู้ตรวจ เจ้าของกระบวนการ และผู้ใช้ผลประเมิน
เส้นแบ่งที่ข้อสอบออกซ้ำที่สุดคือ พูด vs เขียน การสื่อสารด้วยการเขียนให้บันทึกถาวรและแม่นยำ แต่กินเวลาและจำกัดการโต้ตอบ (feedback) เพราะผู้ส่งกับผู้รับไม่ได้คุยพร้อมกัน ส่วนการพูดเป็นทางการน้อยกว่าและแม่นยำน้อยกว่า แต่ได้ feedback ทันทีและส่งสารเร็ว หลักคือ เรื่องเร่งด่วน/ต้องลงมือทันทีให้ใช้ปาก (หรือรายงาน interim), ผลลัพธ์สุดท้าย/ต้องมีบันทึกถาวรให้ใช้การเขียน ส่วนงานวางแผนหรือการหา buy-in จาก stakeholder ให้ใช้ ทั้งสอง อย่าง - เขียน (ไว้เป็นบันทึก) ควบคู่กับการคุยแบบไม่เป็นทางการ (ไว้ได้ feedback)
อีกจังหวะที่ข้อสอบชอบดักคือ การสื่อสารตอนวางแผน ปกติผู้ตรวจต้องแจ้งผู้บริหารของกิจกรรมที่จะตรวจล่วงหน้าเรื่องขอบเขตและเวลา ให้เขามีเวลาเตรียมและช่วยประสานให้คนสำคัญพร้อม - แต่มีข้อยกเว้นที่ต้องจำ ถ้าเป็นภารกิจที่ต้อง จู่โจม เช่นการนับเงินสดกะทันหันหรือขั้นตอนที่เกี่ยวกับการสงสัยทุจริต ให้ งด การแจ้งเป็นทางการล่วงหน้า เพราะการแจ้งจะทำให้ขั้นตอนคาดเดาได้และทำลายภารกิจ
มุมผู้ตรวจ (คนสอบ) - กับดักคือตัวเลือกแบบสัมบูรณ์ “พูดอย่างเดียว/เขียนอย่างเดียว” ทั้งที่คำตอบคือทั้งสอง หรือเอาตัวเลือก “เขียนละเอียดกว่า” มาวางในสถานการณ์ที่ความเร็วคือทั้งหมด (เช่นเจอ scope limitation กลางคัน) - อันนั้นแพ้ตัวเลือกที่ให้คุยแบบไม่เป็นทางการทันที และถ้าถามว่าวิธีไหน ขัดขวาง การได้ feedback คำตอบคือรายงานที่เป็นลายลักษณ์อักษร เพราะมันไม่มีการโต้ตอบแบบเรียลไทม์ ส่วนตัวเลือกอีเมลหว่าน แจ้งเบาะแสนิรนาม หรือคุยกันตอนพักเที่ยง ที่แต่งตัวมาเป็น “ความโปร่งใส/ความเร็ว” - ไม่เป็นมืออาชีพ ผิดหมด
⚠️ กับดัก: “พูดอย่างเดียว/เขียนอย่างเดียว” ทั้งที่ควรใช้ทั้งสอง, เอา “เขียนละเอียด” ไปวางในเหตุด่วนที่ต้องการความเร็ว, และช่องทางไม่เป็นทางการอย่างอีเมลหว่าน/เบาะแสนิรนาม/นินทา - ตัดทิ้ง
แก้แล้วยังต้องเขียน แต่ถ้าหมดไปแล้วตัดได้
จุดละเอียดที่ข้อสอบชอบเล่นคือ - พอเจอข้อตรวจพบแล้วผู้บริหารรีบแก้ให้เลย ยังต้องรายงานอยู่ไหม คำตอบคือ ยังต้องรายงานเป็นลายลักษณ์อักษร โดยระบุว่าผู้บริหารได้พิจารณาและดำเนินการแก้ไขแล้ว การที่ผู้บริหารแก้แล้ว ไม่ ใช่ข้ออ้างที่จะไม่ต้องออกรายงานของภารกิจที่เสร็จสมบูรณ์ ยกเว้นกรณีเดียว - ถ้าสภาพปัญหานั้น หมดไปจริงๆ ไม่มีอยู่แล้ว ณ วันที่ออกรายงาน เช่นผู้ตรวจเห็นกับตาว่าหลังคารั่วซ่อมเสร็จและของถูกย้ายออกไปแล้ว - อันนั้นตัดออกจากรายงานฉบับสุดท้ายได้ เพราะสภาพนั้นไม่มีอยู่แล้ว
⚠️ กับดัก: “แก้หมดแล้วเลยไม่ต้องออกรายงาน” - ผิด ยังต้องออก และ “ผู้ตรวจไปสั่งให้พนักงานแก้เอง/ให้ผู้จัดการรับความเสี่ยงไว้” - ผู้ตรวจล้ำเส้น แค่รายงานข้อเท็จจริงพอ ที่ตัดได้มีอย่างเดียวคือสภาพที่หมดไปแล้วจริงๆ ณ วันออกรายงาน
exit conference: ยืนยันข้อตรวจพบก่อน
ก่อน CAE จะปล่อยรายงานฉบับสุดท้าย ผู้ตรวจจะคุยข้อตรวจพบ ข้อสรุป และข้อเสนอแนะกับผู้บริหารของกิจกรรมที่ถูกตรวจ (activity under review) ก่อน - มักจะเป็นการประชุมปิดงานหรือ exit conference วัตถุประสงค์หลักของ exit conference คือ นำเสนอและยืนยันข้อตรวจพบ (ตกลงกันให้ตรงว่าข้อเท็จจริงเป็นแบบนี้) ส่วนการปรับความสัมพันธ์ ขอ feedback หรือรับฟังข้อกังวล - เป็นวัตถุประสงค์ รอง ทั้งหมด
มุมผู้ตรวจ (คนสอบ) - กับดักคือ ข้อสอบยกวัตถุประสงค์รองขึ้นมาเป็นหลัก เช่น “ปรับความสัมพันธ์กับผู้บริหาร” หรือ “รับ feedback” ให้เลือกวัตถุประสงค์หลักคือยืนยันข้อตรวจพบ เว้นแต่โจทย์ถามหาวัตถุประสงค์ รอง ชัดๆ อีกกับดักคือเรื่อง คนเข้าประชุม - ต้องเป็นผู้บริหารที่รู้เรื่อง operation จริงและมีอำนาจอนุมัติการแก้ไข ไม่ใช่ผู้ตรวจระดับ staff หรือพนักงานหน้างานที่ไม่มีอำนาจ และไม่ใช่สภาหรือ CEO ด้วย เพราะสองระดับบนนั้นได้รับบทสรุปทีหลัง ไม่ได้มานั่งในห้อง exit meeting
รายงานต้องมีอะไรบ้าง และเรื่องด่วนออก interim
รายงานฉบับสุดท้ายตาม the Standards ต้องมีองค์ประกอบแกนคือ วัตถุประสงค์ (objectives), ขอบเขต (scope), และผลลัพธ์ (results - ข้อตรวจพบ ข้อสรุป ข้อเสนอแนะ/action plan) ตัว scope หมายถึงกิจกรรมที่ตรวจและลักษณะ/ขอบเขตของงานที่ทำ รวมถึงข้อจำกัด ส่วนของอย่าง root cause การอธิบายการติดตามผล สถานะข้อตรวจพบปีก่อน คำแถลงความเป็นอิสระ - พวกนี้ เลือกใส่ ได้ถ้ามีประโยชน์ ไม่ใช่องค์ประกอบบังคับ (จำเจตนานะครับ ไม่ต้องท่องเลข Standard)
มุมผู้ตรวจ (คนสอบ) - ถ้าข้อสอบบอกว่ารายงานขาดบางส่วนแล้วถามว่าขาด “องค์ประกอบบังคับ” อะไร ให้มองหา objectives / scope / conclusions ที่หายไป ถ้ารายงานไม่มี objectives กับ scope ความเสี่ยงคือผู้บริหารอ่านแล้วเข้าใจนัยสำคัญหรือข้อจำกัดของข้อตรวจพบผิด และถ้าเจอเรื่องสำคัญ/เสี่ยงสูงมากระหว่าง fieldwork ที่ต้องลงมือด่วน - ให้ออก รายงานชั่วคราว (interim engagement communication) ถึงผู้บริหารที่เกี่ยวข้องเดี๋ยวนั้น ไม่ใช่รอรายงานฉบับสุดท้าย ส่วนตัวรายงานฉบับสุดท้ายเองต้องออก โดยเร็วที่สุดเท่าที่ทำได้ หลังจบภารกิจ อย่ารอจนแก้ไขเสร็จหรือรอประชุมรอบหน้า (รายงานเรื่องสำคัญที่ออกช้าไปหลายสัปดาห์ = ไม่ทันเวลา)
⚠️ กับดัก: เอา root cause / follow-up / คำแถลงความเป็นอิสระ มาขายเป็นองค์ประกอบบังคับ - พวกนี้ทางเลือก, ยัดวัตถุประสงค์หรือวิธีสุ่มลงในหมวด scope, และ “รอรายงานฉบับสุดท้าย” สำหรับเรื่องด่วน - ต้องออก interim ทันที
เรื่องไหนต้อง escalate ถึงใคร
นี่คือ SU 14.2 และเป็นหัวข้อที่ตอบผิดง่ายที่สุดตอนหนึ่งเลยครับ เพราะทุกอย่างมันขึ้นกับ ใครคือคนผิด ลองแยกเป็นสองกรณีให้ขาด
กรณีที่หนึ่ง ผู้บริหารเป็นแค่เจ้าของความเสี่ยง ไม่ใช่คนทำผิด - เช่นผู้บริหารตัดสินใจ “รับ” ความเสี่ยงไว้เอง หรือไม่ยอมทำตามข้อเสนอแนะ แล้ว CAE เห็นว่าความเสี่ยงนั้นสูงเกินรับได้ ขั้นแรกให้ คุยกับผู้บริหารระดับสูง (senior management) ก่อน ตามสายบังคับบัญชาปกติ ไว้ทำความเข้าใจการตัดสินใจ ดูว่าเขามีอำนาจรับความเสี่ยงนั้นไหม และพยายามหาข้อยุติ ถ้ายังไม่จบ ค่อยยกเรื่องขึ้น สภา (board) ในการสื่อสารที่เป็นทางการ สภาคือ backstop ไม่ใช่ประตูหน้าที่วิ่งเข้าไปเลย
กรณีที่สอง ผู้บริหารระดับสูงเอี่ยวเอง - เช่นเจอ fraud การกระทำผิดกฎหมาย หรือ conflict of interest ที่พัวพันผู้บริหารระดับสูง - ตอนนี้สายรายงานปกติพังทันที ต้องรายงาน ตรงถึงสภา/audit committee ในการสื่อสารแยกฉบับ (separate communication) และให้อยู่ ภายในองค์กร CAE คุมการกระจายเอง
มุมผู้ตรวจ (คนสอบ) - กับดักของกรณีแรกคือ “เสนอรายงานอิสระตรงถึงสภาเลย” หรือ “escalate ขึ้นสภาทันที” - เร็วเกินไปในเมื่อยังไม่ให้โอกาสผู้บริหารระดับสูงแก้ และ “เคารพการตัดสินใจของผู้บริหาร/ปิดข้อตรวจพบ” - นั่นคือการละทิ้งหน้าที่ หน้าที่ CAE ไม่จบตรงที่ผู้บริหารรับความเสี่ยง ส่วนกับดักกรณีที่สองคือ “กระจายให้ CEO/ผู้บริหารทุกคน” - คนที่เอี่ยวต้องไม่ได้รับหรือเป็นทางผ่านของรายงาน และ “รายงานหน่วยงานกำกับ/ตำรวจ/external auditor ข้างนอก” - ขัดกับหน้าที่ทางจริยธรรมของผู้ตรวจสอบภายใน การรายงานออกนอกเป็นเรื่องของฝ่ายบริหาร/กฎหมายเว้นแต่กฎหมายบังคับ
⚠️ กับดัก: ผู้บริหารเป็นเจ้าของความเสี่ยง = คุย senior management ก่อน ไม่จบค่อยขึ้นสภา / ผู้บริหารระดับสูงเป็นคนผิด = ตรงถึงสภาแยกฉบับ อย่าออกนอก อย่าผ่าน CEO คำที่เป็น trigger: bribe, fraudulent financial reporting, illegal act, conflict of interest + senior executive
จำเพิ่มอีกหลักหนึ่งครับ เรื่องสำคัญ/ด่วนต้องสื่อสาร ทันทีถึงระดับที่ลงมือแก้ได้ ไม่ใช่ยัดในรายงานฉบับสุดท้าย ไม่ใช่รอประชุมรอบหน้า ไม่ใช่ไปสืบเองก่อนแล้วค่อยแจ้ง และไม่ใช่ป่าวประกาศออกนอก (ลูกค้า สื่อ พนักงานทั้งบริษัท) ถ้าถามว่า “ควรแจ้งใคร” ให้เลือกคนที่ ลงมือแก้ได้โดยตรง เช่น senior management, CAE, ฝ่าย IT security, compliance officer ไม่ใช่หน่วยที่ทำได้แค่กำกับดูแล และถ้าเป็นความสงสัยเรื่องทุจริต ให้แจ้ง CAE ก่อน แล้ว CAE ค่อย escalate ต่อ
สื่อสารกับ stakeholder: CAE เป็นคนตัดสินใจ และเลือกฉบับให้ตรงคนอ่าน
หัวข้อสุดท้ายของ Part คือ SU 14.3 ครับ หลักแรกที่ข้อสอบออกบ่อยคือ การตัดสินใจเรื่องการสื่อสารเป็นของ CAE จะสื่อสารอย่างไร เมื่อไหร่ กับใคร ใครเซ็น ใครอนุมัติ เมื่อไหร่ต้อง escalate เรื่องทุจริต - CAE ตัดสินใจ ไม่ใช่ผู้ตรวจหน้างาน ไม่ใช่สภา ไม่ใช่หัวหน้าทีม และไม่ใช่ผู้บริหารของกิจกรรมที่ถูกตรวจ
มุมผู้ตรวจ (คนสอบ) - กับดักคือ ข้อสอบเอาผู้ตรวจหน้างานมาเป็นคนเซ็นเพราะ “รู้รายละเอียดมากที่สุด” - แต่สิ่งที่กำหนดลายเซ็นคือ อำนาจ ไม่ใช่ความรู้ คนเซ็น/อนุมัติรายงานฉบับสุดท้ายคือ CAE หรือผู้ที่ได้รับมอบอำนาจ หลังผ่านการรีวิวโดยหัวหน้าแล้ว อีกกับดักคือเสนอสภาเป็นผู้อนุมัติรายงาน - แต่สภา กำกับดูแล function ไม่ได้มานั่งรีวิว/อนุมัติรายงานภารกิจทีละฉบับ และ “ให้ผู้บริหารของกิจกรรมที่ถูกตรวจร่วมเซ็นเพื่อแสดงความเห็นพ้อง” - ผิด ผู้บริหารได้รับรายงานและแนบความเห็นแย้งได้ แต่ไม่ได้ตัดสินใจหรือเซ็น
หลักที่สองคือ เลือกรูปแบบให้ตรงกับคนอ่าน ผู้บริหารระดับสูงและสภาได้ บทสรุปสำหรับผู้บริหาร (executive summary) ที่กระชับ - เป็นไฮไลต์ของผลภารกิจ ส่วนคนที่ต้องลงมือแก้ (ผู้จัดการที่ดูแล action plan) ได้ รายงานฉบับเต็ม ตัววัดว่ารายงานดีไม่ได้อยู่ที่ปริมาณหรือความลึกทางเทคนิค แต่อยู่ที่มัน กระชับ ชัด และตอบโจทย์ stakeholder หลักได้ไหม
มุมเถ้าแก่/สภา - เรื่องนี้ตรงกับชีวิตจริงของสภามาก สภาไม่มีเวลานั่งอ่านรายงานเทคนิคร้อยหน้า สิ่งที่สภาต้องการคือไฮไลต์ที่พอให้ตัดสินใจได้ ส่วนผู้จัดการหน้างานที่ต้องลงมือแก้จริงต่างหากที่ต้องการรายละเอียดครบ
⚠️ กับดัก: เอา “รายงานเทคนิคละเอียด/ประวัติครบถ้วน/สถิติซับซ้อน” มาขายเป็นความรอบคอบให้ผู้บริหารระดับสูง - มันท่วมและลดประสิทธิผล และ “อีเมล bullet ถึง CEO” ดูกระชับแต่ขาดรายละเอียด/ความเป็นมืออาชีพที่ผลงานควรมี ผู้บริหารระดับสูง/สภา = executive summary, คนที่ต้องแก้ = ฉบับเต็ม
มุมผู้ตรวจ (คนสอบ) - เรื่องการเลือกคู่สนทนาให้ถูกก็ออกบ่อย ต้องคุยกับคนที่ เป็นเจ้าของและลงมือแก้ได้ ตามลำดับ - เรื่องขอความชัดเจนหรือข้อตรวจพบเบื้องต้นระหว่าง fieldwork ไปที่ผู้บริหารของกิจกรรมที่ถูกตรวจ/เจ้าของกระบวนการ/ผู้จัดการแผนกที่เป็นเจ้าของและยืนยันข้อมูลได้ ไม่ใช่พนักงานหน้างานหรือทีม QA ที่ทำแค่ปฏิบัติ ส่วนการรายงานความเสี่ยงร้ายที่ยังไม่ถูกจัดการ - ไปที่ senior management ที่กำกับดูแล ก่อน สภาต่อเมื่อ senior management ตอบสนองไม่พอ และในสภาพแวดล้อมที่พัฒนาดีแล้ว ให้รายงานทั้ง line management และ senior management อย่าข้ามหรือลดระดับใดระดับหนึ่ง
ตารางกับดักรวม (ปิด Part 2)
รวบตัวเด็ดจากทั้งตอนและร้อยธีมสำคัญของ Part 2 ที่เดินมาทั้งสายไว้ที่เดียวครับ
| สถานการณ์ | คำตอบหลอก | คำตอบจริง |
|---|---|---|
| ใครรับผิดชอบการกำกับดูแลสูงสุด | engagement supervisor / manager มี ultimate responsibility | CAE เสมอ มอบหมายงานได้ ความรับผิดชอบไม่โอน |
| งานไหน CAE ทำแต่ supervisor ไม่ทำ | รีวิว work program / workpapers | จัดทำตารางภารกิจ risk-based เสนอต่อสภา |
| ปริมาณการกำกับดูแลวัดจากอะไร | ความเสี่ยงทุจริต / กฎหมาย / ประวัติแผนก | proficiency + experience ของทีม กับ complexity ของงาน เท่านั้น |
| ทีมเก๋าแล้ว | ไม่ต้องกำกับ | ยังต้องกำกับ เปลี่ยนแค่ระดับ |
| เจอปัญหากลางภารกิจ | จดไว้เขียนในรายงานสุดท้าย / ทำตามแผนเดิม | แก้ทันที ปรับแผน/ปรึกษา CAE |
| ลูกทีมทำไม่ไหว | ถอดออก/ย้ายออก/เลื่อนไปอบรม | โค้ช ปรับงาน จับคู่กับคนที่รู้มากกว่า |
| conclusion ไม่มีหลักฐาน อธิบายด้วยปากได้ | เชื่อดุลยพินิจ/อนุมัติเพราะเก๋า | สั่งอัปเดต workpapers ให้มีหลักฐานเขียนก่อนสรุป |
| หลักฐานว่ารีวิวแล้ว | performance appraisal / อีเมล / บอกปาก | ลายชื่อย่อ+วันที่ / review checklist / review memo |
| อะไรบ่งชี้ว่าไม่ได้รีวิว | ไม่มีรายการความเสี่ยง / ไม่มีข้อเสนอแนะ | ไม่มีลายชื่อย่อของผู้รีวิว |
| supervision คืออะไร | กำหนด scope / จัดคน / ประเมินประจำปี | ดำเนินและรีวิวภารกิจ (planning กับ HR ไม่ใช่ supervision) |
| ลูกทีมทำพลาด | ลงโทษ / เขียนใหม่เอง / มองข้าม | ให้ feedback เจาะจง + โค้ช/อบรม |
| การประเมินที่ดี | วัดตัวเดียว / รวมทีม / พูดแต่ข้อดี / halo bias | เจาะจง มีหลักฐาน รายคน สมดุลจุดแข็ง-จุดพัฒนา ไม่ลำเอียง |
| เรื่องเร่งด่วน/ต้องลงมือทันที | รายงานเขียนละเอียด | พูด/interim (ได้ feedback เร็ว) |
| ผู้บริหารแก้ปัญหาไปแล้ว | ไม่ต้องออกรายงาน | ยังต้องเขียน ระบุว่าผู้บริหารแก้แล้ว (เว้นสภาพหมดไปจริง) |
| วัตถุประสงค์หลักของ exit conference | ปรับความสัมพันธ์ / รับ feedback | นำเสนอและยืนยันข้อตรวจพบ |
| ใครเข้า exit conference | staff / พนักงานไม่มีอำนาจ / สภา / CEO | ผู้บริหารที่รู้ operation และอนุมัติการแก้ไขได้ |
| องค์ประกอบบังคับของรายงาน | root cause / คำแถลงความเป็นอิสระ | objectives + scope + conclusions/results |
| เจอเรื่องด่วนกลาง fieldwork | รอรายงานฉบับสุดท้าย | ออก interim communication ทันที |
| ผู้บริหารรับความเสี่ยงที่สูงเกินรับได้ | ขึ้นสภาทันที / เคารพการตัดสินใจ | คุย senior management ก่อน ไม่จบค่อยขึ้นสภา |
| ผู้บริหารระดับสูงเอี่ยว fraud | กระจายให้ CEO / รายงาน regulator ข้างนอก | ตรงถึงสภา/audit committee แยกฉบับ อยู่ภายใน |
| สงสัยทุจริต แจ้งใครก่อน | external auditor / ตำรวจ / ผู้ต้องสงสัย | CAE ก่อน แล้ว CAE escalate ต่อ |
| ใครเซ็น/ตัดสินใจการสื่อสาร | ผู้ตรวจหน้างาน (รู้มากสุด) / สภาอนุมัติ | CAE หรือผู้รับมอบอำนาจ |
| ผู้บริหารระดับสูง/สภาได้อะไร | รายงานเทคนิคละเอียด / รายงานฉบับเต็ม | executive summary กระชับ (คนที่ต้องแก้ได้ฉบับเต็ม) |
สิ่งที่จดสำหรับวันสอบ
- CAE รับผิดชอบสูงสุดเสมอ มอบหมายได้แต่ไม่โอนความรับผิดชอบ - เห็น “ultimate/primary” คู่กับ supervisor/manager ให้ตัด
- ปริมาณการกำกับ = proficiency + complexity เท่านั้น ไม่ใช่ทุจริต กฎหมาย หรือประวัติแผนก
- เจอปัญหากลางทาง แก้เดี๋ยวนั้น ลูกทีมพลาด สอน ไม่ลงโทษ ไม่ถอดออก
- conclusion ต้องมี หลักฐานเขียน รองรับ พูดเก่งไม่นับ - ส่งกลับไปหาหลักฐาน อย่าลบทิ้ง
- หลักฐานว่ารีวิวแล้ว = initials + วันที่ / checklist / memo ไม่ใช่อีเมลหรือ appraisal
- การประเมินต้อง เจาะจง มีหลักฐาน รายคน สมดุล ไม่ลำเอียง ระวัง halo bias
- เร่งด่วนพูด/interim, บันทึกถาวรเขียน, วางแผนใช้ทั้งสอง
- แก้แล้วยังต้องเขียนรายงาน ตัดได้เฉพาะสภาพที่หมดไปจริง ณ วันออกรายงาน
- exit conference = ยืนยันข้อตรวจพบ (หลัก) คนเข้า = คนที่อนุมัติการแก้ไขได้
- รายงานบังคับมี objectives + scope + conclusions เรื่องด่วนออก interim รายงานสุดท้ายออกโดยเร็วที่สุด
- ผู้บริหารเป็นเจ้าของความเสี่ยง = senior management ก่อน ไม่จบค่อยสภา
- ผู้บริหารระดับสูงเป็นคนผิด = ตรงถึงสภาแยกฉบับ อยู่ภายใน สงสัยทุจริตแจ้ง CAE ก่อน
- CAE ตัดสินใจการสื่อสารทั้งหมด คนเซ็นคือ CAE/ผู้รับมอบอำนาจ (อำนาจ ไม่ใช่ความรู้)
- ผู้บริหารระดับสูง/สภาได้ executive summary คนที่ต้องแก้ได้ ฉบับเต็ม
ปิด Part 2: มองย้อนเส้นทางภารกิจทั้งสาย
พอปิด Part นี้แล้วลองถอยมามองภาพรวมครับ Part 2 ทั้ง Part คือการเดินตามภารกิจตรวจสอบหนึ่งงานจากต้นจนจบ - เริ่มจากการ วางแผน (เข้าใจกิจกรรมที่จะตรวจ ประเมินความเสี่ยง ตั้งวัตถุประสงค์กับขอบเขต ร่าง work program) ต่อด้วยการ ลงมือตรวจ (เก็บหลักฐานให้เพียงพอ เชื่อถือได้ และเกี่ยวข้อง จดกระดาษทำการ ใช้เทคนิควิเคราะห์และการสุ่ม) แล้วมาปิดที่ คุมทีมกับสื่อสารผล ในสองตอนสุดท้ายนี้
ธีมที่ร้อยทั้ง Part ไว้มีไม่กี่เส้น แต่ออกซ้ำทุกหัวข้อครับ เส้นแรกคือ หลักฐานต้องจับต้องและบันทึกได้ - ตั้งแต่การเก็บ evidence ระหว่างตรวจ ไปจนถึง conclusion ที่ต้องมีของเขียนรองรับ และหลักฐานว่ารีวิวแล้ว พูดเก่งไม่เคยพอในโลกของผู้ตรวจ เส้นที่สองคือ สายบังคับบัญชาและอำนาจ - ใครรับผิดชอบ ใครมอบหมายได้ ใคร escalate ถึงใคร คนเซ็นคือคนมีอำนาจไม่ใช่คนรู้มากสุด และ CAE คือศูนย์กลางของทุกการตัดสินใจ เส้นที่สามคือ เจอปัญหาแก้ทันที ถึงคนที่ลงมือได้ - ไม่รอรายงานฉบับสุดท้าย ไม่ข้ามระดับ ไม่ป่าวประกาศออกนอก จำสามเส้นนี้ได้ ข้อสอบ Part 2 ครึ่งหนึ่งก็ตอบได้แล้วครับ
ที่น่าสนใจคือ ทั้ง Part นี้เรามองจากสายตา นักตรวจ เป็นหลัก - คนที่ลงไปทำภารกิจหนึ่งงาน ตั้งแต่วางแผนยันส่งรายงาน แต่พอสังเกตดีๆ ตอนท้ายๆ ของ Part - เรื่อง CAE รับผิดชอบสูงสุด, CAE ตัดสินใจการสื่อสาร, CAE จัดตารางภารกิจ risk-based ทั้งปี - มันเริ่มเผยให้เห็นอีกชั้นหนึ่งของภาพแล้ว ชั้นที่ไม่ใช่ “ทำภารกิจหนึ่งงานให้ดี” แต่เป็น “บริหารกองผู้ตรวจการทั้งกองให้เดินทั้งปี”
นั่นแหละคือสะพานเข้า Part 3 ครับ ถ้า Part 2 คือการฝึกเป็น นักตรวจ ที่ทำภารกิจเดี่ยวให้แม่น Part 3 คือการก้าวขึ้นเป็น แม่ทัพ - มองจากมุม CAE ที่ต้องดูแลทั้ง function ไม่ใช่ทีละงาน คำถามจะเปลี่ยนจาก “ตรวจงานนี้ยังไง” เป็น “จัดวางกองตรวจทั้งกองยังไงให้ครอบคลุมความเสี่ยงทั้งองค์กร วางกลยุทธ์ จัดทรัพยากร ทำ QAIP ให้ทั้ง function สอดคล้อง the Standards และรายงานภาพรวมต่อสภายังไง” คนที่เราเห็นโผล่เป็นเงาตลอด Part 2 - เถ้าแก่ สภา และ CAE - จะกลายเป็นตัวละครหลักของ Part 3 เต็มตัว เตรียมเปลี่ยนหมวกจากคนถือกระดาษทำการ เป็นคนถือแผนที่ทั้งอาณาจักรได้เลยครับ
แล้วเจอกันใหม่ใน Part 3 ครับ เปิดด้วยวันแรกของผู้ตรวจที่เพิ่งเลื่อนเป็น CAE แล้วกางแผนที่ทั้ง Part — บริหารกองผู้ตรวจ วางแผนตรวจทั้งอาณาจักรแบบ risk-based คุมคุณภาพด้วย QAIP และสื่อสารผลตรวจ เปลี่ยนหมวกจากคนถือกระดาษทำการ เป็นคนถือแผนที่ทั้งอาณาจักรกันเลย ตอนถัดไป: P3 Storyboard — วันแรกของ CAE
อ้างอิง: Gleim CIA Review (2026), Part 2 · IIA Global Internal Audit Standards (2024)