784 คำ
4 นาที
CIA Series ตอนที่ 37 : P3 - Storyboard: วันแรกของแม่ทัพ
สารบัญ

ลองนึกภาพตามนะครับ เช้าวันหนึ่ง ผู้ตรวจมือดีคนหนึ่งเดินเข้าห้องทำงานใหม่ เมื่อวานยังลงพื้นที่ตรวจอยู่เลย วันนี้ป้ายบนโต๊ะเปลี่ยนเป็นหัวหน้ากอง — เป็น CAE (chief audit executive คือหัวหน้าสูงสุดของกองผู้ตรวจการ) เต็มตัว

บนโต๊ะมีเอกสารวางรออยู่ แต่ไม่ใช่จดหมายมอบหมายให้ไปตรวจสาขาไหนแบบเมื่อก่อนแล้ว เป็นสี่กองเอกสารที่มองแล้วหนักอกกว่าเดิมเยอะ กองแรกเรื่องคนในทีม เงินเดือน งบ กับวิธีทำงานของกอง กองที่สองเป็นแผนว่าปีนี้จะไปตรวจอะไรบ้างทั้งอาณาจักร กองที่สามเป็นเรื่องคุณภาพของกองเอง ว่าใครจะมาตรวจคนตรวจ ส่วนกองสุดท้ายหนาที่สุด เป็นเรื่องผลตรวจที่ต้องสื่อสารและตามให้จบ

ถ้า Part 1 ที่เราเดินมาด้วยกันคือ “กำเนิดกองผู้ตรวจการ” และ Part 2 คือ “กายวิภาคของหนึ่งภารกิจ” ตั้งแต่จดหมายมาถึงโต๊ะจนปิดงาน Part 3 ก็คือการถอยกล้องออกมาอีกขั้น ไปยืนที่เก้าอี้ของคนที่ต้องดูแล internal audit function (กองผู้ตรวจการสอบภายในทั้งกอง ไม่ใช่แค่งานชิ้นเดียว) ทั้งอาณาจักร ไม่ใช่คนสอบที่เข้าไปทำงานหนึ่งชิ้นอีกต่อไป แต่เป็นคนที่ต้องตอบ board (สภา/คณะกรรมการกำกับ) ว่าทั้งกองนี้ทำงานคุ้มค่าไหม มีคุณภาพไหม แล้วผลตรวจที่ออกไปถูกแก้จริงหรือเปล่า

ตอนนี้เราจะกางแผนที่ทั้งสี่กองก่อน ให้เห็นภาพรวม แล้วค่อยลงรายละเอียดในตอนถัดๆ ไป

ตอนที่ปิด Part 2 (ตอนที่ 36) เราคุยเรื่องงานสองด้านสุดท้ายของหัวหน้าทีมตรวจ — supervision ที่ CAE รับผิดชอบสูงสุดเสมอแม้มอบหมายงานได้ กับการสื่อสารผลตรวจ ตั้งแต่ exit conference องค์ประกอบบังคับของรายงาน ไปจนถึงว่าเรื่องไหนต้อง escalate ถึงใคร และร้อยเส้นทางทั้ง Part 2 ว่านักตรวจทำภารกิจเดี่ยวยังไงให้ครบขั้นตอน ตอนนี้เราจะถอยกล้องออกมาอีกขั้น จากคนที่ทำงานหนึ่งชิ้น ไปเป็นแม่ทัพที่ดูแลทั้งกอง

โครงของ storyboard ตอนนี้#

  • สี่กองบนโต๊ะ CAE: บริหารกอง → วางแผนตรวจทั้งอาณาจักร → คุมคุณภาพกอง → สื่อสารผลตรวจและติดตาม
  • มุมมองเปลี่ยนจาก “คนทำงานหนึ่งชิ้น” ใน Part 2 เป็น “คนดูแลทั้งกอง” ใน Part 3
  • จุดยืนที่ต้องจำตั้งแต่วันนี้: เกือบครึ่งของข้อสอบ Part 3 คือกองสุดท้าย — ผลตรวจกับการติดตาม
  • ทำไม “สื่อสารและตามผล” ถึงกินน้ำหนักมากกว่า “บริหารกอง” ทั้งที่ฟังดูเป็นงานปลายทาง
  • กับดักภาพใหญ่ที่วางไว้ล่วงหน้าได้ตั้งแต่ยังไม่ลงรายละเอียด

กองที่หนึ่ง: บริหารกองผู้ตรวจการ — คน เงิน ของ และทิศทาง#

กองแรกบนโต๊ะคือเรื่องที่คนไม่เคยเป็นหัวหน้ามักมองข้าม — การทำให้กองผู้ตรวจการ เดินได้ เอาตรงๆ นะครับ ตอนเป็นคนลงพื้นที่ เราคิดแค่ว่าจะตรวจงานตรงหน้ายังไงให้ดี แต่พอมานั่งเก้าอี้ CAE คำถามมันเปลี่ยนไปหมด ปีนี้จะมีคนพอไหม งบจะขอเท่าไร คนใหม่จะฝึกยังไง คนเก่งจะรั้งไว้ยังไงไม่ให้ลาออก แล้วเครื่องมือ IT ที่ทีมใช้ตรวจจะพอกับงานที่ซับซ้อนขึ้นหรือเปล่า

เรื่องพวกนี้รวมกันเรียกว่าการบริหาร internal audit function ทั้งเรื่องคน เรื่องเงิน เรื่อง IT ไปจนถึงการวางกลยุทธ์ของกอง จุดที่ผมเพิ่งมาเข้าใจคือ กลยุทธ์ของกองผู้ตรวจการไม่ใช่เรื่องลอยๆ มันต้องเกาะไปกับกลยุทธ์และความเสี่ยงขององค์กร ถ้าองค์กรกำลังบุกตลาดใหม่ กองผู้ตรวจการก็ต้องเตรียมคนที่เข้าใจความเสี่ยงของตลาดนั้น ไม่ใช่วางแผนแบบเดิมทุกปีจนหลุดจากสิ่งที่องค์กรเจอจริง แล้วพอสภาพแวดล้อมเปลี่ยน — องค์กรปรับทิศ หรือความเสี่ยงใหม่โผล่ — นั่นก็เป็นสัญญาณว่าถึงเวลาต้องทบทวนทั้งกลยุทธ์และวิธีทำงานของกองใหม่ ไม่ยึดของเก่าเพราะเคยชิน

อีกเรื่องในกองนี้คือการที่ CAE ต้องสื่อสารกับ senior management และ board ต้องรายงานภาพรวมว่าระบบบริหารความเสี่ยงและ control ขององค์กรโดยรวมมีประสิทธิผลแค่ไหน ไม่ใช่รายงานทีละงานแยกกัน แต่ต้องมองข้ามหลายภารกิจแล้วจับ ธีม ที่ซ้ำๆ ขึ้นมาเล่า แล้วถ้ามีเรื่องกระทบความเป็นอิสระของกอง ก็ต้องรีบบอก ไม่ใช่ปิดไว้

  • มุมเถ้าแก่/สภา: สำหรับสภา กองผู้ตรวจการก็เป็นค่าใช้จ่ายก้อนหนึ่งเหมือนแผนกอื่น เขาอยากได้กองที่ใช้เงินคุ้ม จ้างคนเป็น รั้งคนเก่งไว้ได้ และวางแผนสอดคล้องกับทิศที่องค์กรกำลังไป ไม่ใช่กองที่ตรวจไปเรื่อยตามความเคยชิน
  • มุมผู้ตรวจ (คนสอบ): เจอคำว่า budgeting, recruiting, retention, mentoring, coaching, หรือ IT resources ให้รู้ว่าอยู่ในกองบริหาร และจำว่ากลยุทธ์ของกองต้องผูกกับกลยุทธ์องค์กรเสมอ เดี๋ยวตอน /posts/cia-p3-38-managing-the-function/ จะลงลึกเรื่องบริหารกองนี้ทีละเรื่อง

⚠️ กับดักภาพใหญ่: ข้อสอบชอบวางคำตอบที่ทำให้กลยุทธ์ของกองผู้ตรวจการดูเหมือนเรื่องภายในกองล้วนๆ ตัดขาดจากองค์กร ทั้งที่จริงกลยุทธ์กองต้อง สนับสนุน กลยุทธ์และความเสี่ยงขององค์กร — ใครตอบว่ากองวางแผนของตัวเองอิสระจากทิศองค์กรได้ คือติดกับ

กองที่สอง: วางแผนตรวจทั้งอาณาจักร — ไปตรวจอะไร เพราะอะไร#

กองที่สองคือแผนตรวจของทั้งปี ตรงนี้ต่างจาก Part 2 ชัดเจน — Part 2 เราวางแผนงาน หนึ่งชิ้น ว่าจะตรวจสาขานั้นยังไง แต่กองนี้คือวางแผนว่า ทั้งอาณาจักร จะตรวจอะไรบ้างในปีนี้ และที่สำคัญกว่านั้นคือ จะ ไม่ ตรวจอะไร เพราะกำลังผู้ตรวจมีจำกัด ตรวจทุกอย่างเท่ากันไม่ได้

จุดเริ่มคือต้องรู้ก่อนว่าทั้งองค์กรมีอะไรให้ตรวจได้บ้าง ภาพรวมทั้งหมดนี้เรียกว่า audit universe (จักรวาลของสิ่งที่ตรวจได้ — ทุกหน่วยงาน กระบวนการ ระบบ ที่อาจเข้าไปตรวจ) พอมีจักรวาลแล้ว ก็ต้องเลือกว่าจะไปตรงไหนก่อน ตัวเลือกมันมาจากหลายทาง ทั้งคำขอจากสภาและผู้บริหาร กฎหมายและ regulator ที่บังคับให้ต้องตรวจบางเรื่อง แนวโน้มอุตสาหกรรมและเทคโนโลยีใหม่ที่เพิ่งโผล่ ไปจนถึงเรื่องที่มีกติกากลางกำหนดว่าถ้าองค์กรมีความเสี่ยงบางประเภทต้องตรวจตามแนวเฉพาะ กติกากลางแบบนี้ในภาษาของ GIAS เรียกว่า topical requirements

หัวใจของทั้งกองนี้คือคำว่า risk-based (อิงความเสี่ยงเป็นตัวตั้ง) แผนตรวจที่ดีไม่ได้เรียงตามตัวอักษรหรือตามใครเสียงดัง แต่เรียงตามว่าเรื่องไหนเสี่ยงมากพอที่ต้องเพ่งเล็งก่อน และแผนนี้ไม่ใช่ของตายที่ทำครั้งเดียวจบ ถ้าระหว่างปีมีความเสี่ยงใหม่โผล่ หรือองค์กรเปลี่ยนทิศกะทันหัน ก็ต้อง ปรับแผนให้ทันเวลา เขาถึงเรียกว่าแผนตรวจที่มีชีวิต ไม่ใช่กระดาษที่เซ็นเสร็จแล้วแขวนทิ้ง

อีกเรื่องในกองนี้คือ ผู้ตรวจภายในไม่ใช่คนเดียวในองค์กรที่ให้ assurance (การให้ความเชื่อมั่น) มีทั้งผู้ตรวจข้างนอกและหน่วยงานอื่นที่ตรวจสอบเหมือนกัน CAE ที่เก่งจะรู้จักประสานงานและ ยืม งานของคนอื่นมาใช้ ถ้าประเมินแล้วว่าเชื่อถือได้ จะได้ไม่ต้องตรวจซ้ำซ้อนเปลืองแรง

  • มุมเถ้าแก่/สภา: สภาอยากเห็นแผนที่ไปลงเรื่องเสี่ยงจริง ไม่ใช่แผนที่ตรวจครบทุกแผนกเท่ากันแบบเกลี่ยหน้าเค้ก และอยากให้กองผู้ตรวจการรู้จักใช้งานที่คนอื่นตรวจไว้แล้ว ไม่ใช่ส่งคนไปตรวจซ้ำในสิ่งที่ผู้ตรวจข้างนอกเพิ่งดูไป
  • มุมผู้ตรวจ (คนสอบ): เจอคำว่า audit universe, risk-based plan, risk assessment ระดับองค์กร, coordination กับ assurance provider อื่น หรือ dynamic/ปรับแผนทันเวลา ให้รู้ว่าอยู่ในกองวางแผน และจำว่าแผนต้อง อิงความเสี่ยง เสมอ ไม่ใช่เรียงตามคำขอใครดังสุด เดี๋ยวตอน /posts/cia-p3-41-risk-based-audit-plan/ จะลงลึกทั้งเรื่อง audit universe และแผน risk-based

⚠️ กับดักภาพใหญ่: ข้อสอบชอบวางคำตอบที่ให้เอา คำขอของผู้บริหาร มาเป็นตัวตั้งของแผน ทั้งที่ตัวตั้งจริงคือ ความเสี่ยง — คำขอเป็นหนึ่งในหลายแหล่ง ไม่ใช่ตัวกำหนดลำดับ ใครตอบว่าแผนเรียงตามใครสั่ง คือหลุดจากคำว่า risk-based

กองที่สาม: คุมคุณภาพของกองเอง — ใครตรวจคนตรวจ#

กองที่สามเป็นกองที่ฟังดูแปลกดี — กองผู้ตรวจการมีหน้าที่ไปตรวจคนอื่นทั้งองค์กร แล้วใครล่ะที่มาตรวจ กองผู้ตรวจการ เอง คำตอบคือกองนี้ต้องตรวจตัวเองด้วย ผ่านสิ่งที่เรียกว่า QAIP (quality assurance and improvement program คือโปรแกรมประกันและพัฒนาคุณภาพของทั้งกอง) แล้วคนที่ต้องวางเรื่องนี้ให้ครบก็คือ CAE

QAIP มีสองขาใหญ่ ขาแรกคือประเมินจากข้างใน ทั้งการเฝ้าดูคุณภาพงานอย่างต่อเนื่องระหว่างทำงานปกติ และการทบทวนตัวเองเป็นระยะ ส่วนขาที่สองคือให้คนข้างนอกที่เป็นอิสระเข้ามาประเมิน เรียกว่า external assessment จุดที่ข้อสอบชอบหยิบไปถามคือความถี่ — การประเมินจากภายนอกนี้ต้องทำอย่างน้อยหนึ่งครั้งทุกห้าปี ตัวเลขนี้จำเจตนาไว้ก็พอ ไม่ต้องท่องเลขมาตรฐาน แล้วผลของ QAIP ทั้งหมด CAE ต้องรายงานให้ board รับรู้ ไม่ใช่เก็บไว้ดูเอง

อีกเรื่องที่เกาะกับกองนี้คือ ถ้าทำงานแล้วมีจุดที่ไม่เป็นไปตาม the Standards (มาตรฐานสากลของงานตรวจภายใน หลังจากแนะนำ GIAS ในตอนก่อนๆ ไปแล้ว) — ที่เรียกว่า nonconformance — ก็ต้องเปิดเผย ไม่ใช่ซุกไว้ แล้วเวลาเปิดเผยก็ต้องบอกให้ครบว่ามันเกิดในสถานการณ์ไหน ทำอะไรไปแก้แล้วบ้าง กระทบอะไร แล้วทำไมถึงเกิด เรื่องนี้ต้องไปถึงหูผู้บริหารระดับสูงและสภาด้วย สุดท้ายกองนี้ยังรวมเรื่องการวัดผลงานของกองด้วย KPI (key performance indicator ตัวชี้วัดผลงานที่จับต้องได้) หรือ scorecard ที่ CAE เอาไปเล่าให้ผู้บริหารและสภาฟัง ว่ากองผู้ตรวจการทำงานได้ผลแค่ไหน ทั้งในเชิงตัวเลขและเชิงคุณภาพ

  • มุมเถ้าแก่/สภา: สภาอยากมั่นใจว่ากองที่ตัวเองพึ่งพาให้ไปตรวจคนอื่น เชื่อถือได้จริง การมี external assessment จากคนนอกทุกห้าปีคือการยืนยันว่ากองนี้ผ่านการตรวจสอบเหมือนกัน ไม่ใช่พูดเองว่าตัวเองดี และ KPI คือสิ่งที่ทำให้สภาเห็นว่าเงินที่ลงไปกับกองผู้ตรวจการได้ผลกลับมาแค่ไหน
  • มุมผู้ตรวจ (คนสอบ): เจอคำว่า QAIP, internal/external assessment, ongoing monitoring, periodic self-assessment, nonconformance, หรือ KPI/scorecard ให้รู้ว่าอยู่ในกองคุณภาพ และจำสองจุดที่ข้อสอบชอบหลอก — external assessment อย่างน้อยทุกห้าปี และการเปิดเผย nonconformance ต้องบอกครบทั้งสถานการณ์ การแก้ ผลกระทบ และเหตุผล เดี๋ยวตอน /posts/cia-p3-43-qaip/ จะลงลึกทั้งเรื่อง QAIP

⚠️ กับดักภาพใหญ่: ข้อสอบชอบวางคำตอบที่บอกว่าประเมินคุณภาพกองจากภายในอย่างเดียวก็พอ ทั้งที่ QAIP บังคับให้มี external assessment จากคนนอกที่เป็นอิสระด้วย — ใครตอบว่าตรวจตัวเองภายในอย่างเดียวก็ครบ คือติดกับ

กองที่สี่: สื่อสารผลตรวจและติดตาม — กองที่หนาที่สุดบนโต๊ะ#

กองสุดท้ายหนาที่สุด และไม่ใช่เรื่องบังเอิญ — มันคือช่วงที่งานตรวจ แปรเป็นผลจริง กับองค์กร เพราะต่อให้ตรวจเก่งแค่ไหน ถ้าสื่อสารไม่ชัดหรือไม่มีใครไปตามว่าแก้จริงไหม งานทั้งหมดก็เท่ากับศูนย์ กองนี้เริ่มจากการสื่อสารผลตรวจให้ดี ผลตรวจที่ดีต้องมีคุณสมบัติครบ ทั้งถูกต้อง (accurate) เที่ยงธรรม (objective) ชัด (clear) กระชับ (concise) สร้างสรรค์ (constructive) ครบถ้วน (complete) และทันเวลา (timely) เจ็ดคำนี้เป็นชุดที่ข้อสอบชอบหยิบไปถามทีละคำว่าคำไหนหมายถึงอะไร

เนื้อของรายงานผลตรวจก็มีองค์ประกอบมาตรฐาน — วัตถุประสงค์ ขอบเขต engagement conclusion (ข้อสรุปของภารกิจ ไม่ใช่ opinion แบบงานสอบบัญชี ระวังคำนี้เหมือนที่ย้ำมาตั้งแต่ Part 1) recommendation และ action plan ตรงจุดนี้มีเรื่องที่ต้องตัดสินใจว่า ผู้ตรวจจะเสนอวิธีแก้เอง หรือขอให้ฝ่ายบริหารเสนอ action plan มา หรือคุยร่วมกันจนตกลง และถ้า action plan นั้น ไม่ได้แก้ที่ root cause ก็ยังถือว่าใช้ไม่ได้ พอปิดงานก็มีการประชุมปิด (exit conference) และ CAE มีหน้าที่กระจายรายงานฉบับสุดท้ายให้ผู้เกี่ยวข้องแต่ละกลุ่ม — ผู้บริหารของ activity under review (เรื่อง/หน่วยงานที่ถูกตรวจ เลี่ยงคำเก่าอย่าง auditee) ผู้บริหารระดับสูง สภา ไปจนถึง regulator แล้วแต่ว่าใครควรรู้อะไร

แต่ครึ่งหลังของกองนี้แหละที่หนักจริง — การตามผล เริ่มจาก CAE ต้องประเมิน residual risk (ความเสี่ยงที่ยังเหลืออยู่หลังฝ่ายบริหารลงมือแก้แล้ว) ว่าพอแก้ตาม action plan แล้ว ความเสี่ยงลดลงเหลือเท่าไร ยอมรับได้ไหม จากนั้นถ้าฝ่ายบริหารดันเลือก ยอมรับความเสี่ยง ที่อาจสูงเกินกว่าที่องค์กรควรรับได้ — เรียกว่า risk acceptance — ก็มีขั้นตอนเฉพาะว่าต้องแจ้งใคร เรียงลำดับยังไง เพราะถ้าองค์กรจะแบกความเสี่ยงก้อนนี้ต่อ สภาต้องรู้ตัวและตัดสินใจเอง ไม่ใช่ปล่อยให้ผู้บริหารคนเดียวตัดสินเงียบๆ แล้วสุดท้ายคือการติดตามว่า action plan ถูกทำจริงไหม (follow-up) ถ้าถึงเวลาแล้วยังไม่แก้ ก็ต้อง ยกระดับ (escalation) ขึ้นไปหาคนที่สูงกว่าจนถึงสภา ไม่ใช่ปล่อยเรื่องเงียบหายไป

  • มุมเถ้าแก่/สภา: สำหรับสภา กองนี้คือกองที่ทำให้เงินที่จ่ายค่ากองผู้ตรวจการ คุ้ม จริง เพราะการตรวจเจอปัญหาแล้วไม่มีใครตาม ก็เท่ากับจ่ายเงินซื้อรายงานที่ไม่มีใครทำอะไรต่อ การที่ CAE ตาม action plan จนจบ และรู้จัก escalation เมื่อฝ่ายบริหารเมิน คือสิ่งที่ทำให้สภานอนหลับได้ว่าปัญหาที่รู้แล้วจะถูกแก้จริง และการแจ้ง risk acceptance ให้สภารู้ คือการไม่ให้ใครแอบแบกความเสี่ยงก้อนใหญ่ไว้บนหัวองค์กรโดยสภาไม่รู้ตัว
  • มุมผู้ตรวจ (คนสอบ): เจอคำว่า accurate/objective/clear/concise/constructive/complete/timely, exit conference, residual risk, risk acceptance, follow-up, หรือ escalation ให้รู้ว่าอยู่ในกองใหญ่สุด และจำสามจุด — action plan ต้องแก้ที่ root cause, risk acceptance ที่สูงเกินไปต้องแจ้งสภา, และเจอปัญหาที่ไม่ถูกแก้ต้อง escalation ไม่ใช่ปิดเงียบ เดี๋ยวตอน /posts/cia-p3-45-action-plans-residual-risk/ จะเริ่มลงลึกกองนี้ทีละเรื่อง

⚠️ กับดักภาพใหญ่: ข้อสอบชอบวางคำตอบที่ให้งานจบตรงที่ ส่งรายงาน ทั้งที่จริงงานยังไม่จบ — ต้องประเมิน residual risk, ตาม follow-up ว่าแก้จริงไหม, และ escalation ถ้าไม่แก้ ใครตอบว่ารายงานออกแล้วคือจบภารกิจ คือติดกับที่ใหญ่สุดของ Part 3

ทำไม “สื่อสารและตามผล” ถึงหนักกว่า “บริหารกอง”#

กางครบสี่กองแล้ว มีคำถามที่ค้างในหัวผมตั้งแต่เห็นสัดส่วนข้อสอบ — ทำไมกองสุดท้าย เรื่องผลตรวจกับการติดตาม ถึงกินน้ำหนักเกือบครึ่งของทั้ง Part 3 ทั้งที่การบริหารกองหรือวางแผนตรวจก็ดูเป็นงานใหญ่ของ CAE เหมือนกัน

คำตอบที่ผมได้หลังไล่ดูทั้งสี่กองคือ สามกองแรกมันเป็นการ เตรียมและลงมือ — จัดกอง วางแผน คุมคุณภาพ แต่ทั้งหมดนั้นจะแปรเป็นคุณค่าจริงกับองค์กรก็ต่อเมื่อผลตรวจถูกสื่อสารให้ถูกคนและถูกแก้จริง ลองคิดดูนะครับ ถ้าตรวจเจอช่องโหว่ใหญ่ แต่รายงานเขียนงงจนสภาไม่เข้าใจ หรือเขียนชัดแต่ดันไม่มีใครตามว่าแก้แล้วหรือยัง ความเสี่ยงก้อนนั้นก็ยังนั่งอยู่ที่เดิม เท่ากับงานตรวจทั้งปีไม่ได้ลดความเสี่ยงให้องค์กรเลย นี่แหละคือเหตุผลที่ทั้งงานจริงและห้องสอบให้น้ำหนักกองสุดท้ายมากที่สุด — เพราะมันคือจุดที่งานตรวจ กลายเป็นผล ตรวจดีแต่ไม่ตามผล ก็เท่ากับเปล่าประโยชน์

  • มุมเถ้าแก่/สภา: สภาไม่ได้จ่ายเงินซื้อรายงานสวยๆ เขาจ่ายเพื่อให้ความเสี่ยงขององค์กรลดลงจริง กองที่สื่อสารชัดและตามผลจนแก้เสร็จ คือกองที่ส่งมอบสิ่งที่สภาจ่ายเงินซื้อ
  • มุมผู้ตรวจ (คนสอบ): พอรู้ว่าเกือบครึ่งของข้อสอบอยู่ที่กองสี่ ก็ต้องลงแรงเรียนเรื่องการสื่อสารผล การประเมิน residual risk และการติดตามให้แน่นที่สุด และเวลาเจอโจทย์ ให้ถามตัวเองก่อนว่า “โจทย์นี้อยู่กองไหน” เพราะรู้กองก่อน จะเดาทิศคำตอบได้เร็วขึ้นมาก

กับดักภาพใหญ่ที่วางไว้ล่วงหน้าได้#

storyboard นี้ยังไม่ลงรายละเอียดแต่ละกอง แต่มีแนวกับดักที่วางไว้ก่อนได้ครับ ทั้งหมดนี้จะกลับมาเจอละเอียดในตอนถัดๆ ไป

  • ตัดกลยุทธ์กองออกจากองค์กร: ทำให้ดูเหมือนกองผู้ตรวจการวางแผนของตัวเองอิสระได้ ทั้งที่กลยุทธ์กองต้องสนับสนุนกลยุทธ์และความเสี่ยงขององค์กร
  • เอาคำขอผู้บริหารมาเป็นตัวตั้งของแผน: แผนตรวจต้อง risk-based คำขอเป็นแค่หนึ่งในหลายแหล่ง ไม่ใช่ตัวจัดลำดับ
  • บอกว่าประเมินคุณภาพกองจากภายในพอ: QAIP บังคับให้มี external assessment จากคนนอกที่เป็นอิสระ อย่างน้อยทุกห้าปี
  • ให้งานจบที่ส่งรายงาน: งานยังไม่จบ ต้องประเมิน residual risk, ตาม follow-up, และ escalation ถ้าไม่แก้
  • สลับ conclusion ↔ opinion: ยึดคำ conclusion ตามศัพท์ชุดใหม่ อย่าไปตอบ opinion ที่เป็นคำของงานสอบบัญชี
  • ให้ผู้บริหารยอมรับความเสี่ยงใหญ่เงียบๆ: risk acceptance ที่สูงเกินกว่าองค์กรควรรับ ต้องแจ้งสภา ไม่ใช่จบที่ผู้บริหารคนเดียว

สิ่งที่ต้องเห็นก่อนลงรายละเอียด#

  • Part 3 คือมุมของ CAE ที่ดูแล internal audit function ทั้งกอง ไม่ใช่คนทำงานหนึ่งชิ้นแบบ Part 2
  • สี่กองเรียงกัน: บริหารกอง (คน เงิน IT กลยุทธ์) → วางแผนตรวจทั้งอาณาจักรแบบ risk-based → คุมคุณภาพกองด้วย QAIP → สื่อสารผลตรวจและติดตาม
  • กองวางแผนใช้ audit universe เป็นฐาน แล้วจัดลำดับด้วยความเสี่ยง ไม่ใช่ตามคำขอใคร และปรับแผนได้เมื่อความเสี่ยงเปลี่ยน
  • กองคุณภาพต้องมีทั้งประเมินภายในและ external assessment จากคนนอกอย่างน้อยทุกห้าปี พร้อมเปิดเผย nonconformance ให้ครบ
  • กองสี่หนาสุด: สื่อสารผลด้วยคุณสมบัติเจ็ดข้อ → ประเมิน residual risk → แจ้ง risk acceptance ให้สภา → follow-up → escalation ถ้าไม่แก้
  • จุดยืนที่ต้องจำ: เกือบครึ่งของข้อสอบ Part 3 คือกองสุดท้าย — ตรวจดีแต่ไม่ตามผล เท่ากับเปล่าประโยชน์

กางแผนที่เสร็จแล้ว เดี๋ยวเราลงกองแรกก่อน — เรื่องบริหารกองผู้ตรวจการในฐานะหน่วยธุรกิจหน่วยหนึ่ง ทั้งคน เงิน วิธีทำงาน และการจ้างคนนอกมาช่วย เจอกันตอนถัดไปครับ ตอนถัดไป: บริหารกองผู้ตรวจการ

อ้างอิง: Gleim CIA Review (2026), Part 3 · IIA Global Internal Audit Standards (2024)