1485 คำ
7 นาที
CIA Series ตอนที่ 38 : P3 - บริหารกอง: Methodologies · คน · เงิน · เทคโนโลยี
สารบัญ
โครงของบท CAE บริหารกอง และ methodologies ที่ต้องคอยรื้อ เส้นทองของทั้งตอน: แนะนำได้ ห้ามลงมือทำเอง อย่าลดมาตรฐานให้เข้ากับของที่อ่อน เงิน: สมดุล assurance-advisory และงบที่อิงความเสี่ยง ขาดงบ ต้องบอกสภา อย่าตัดสโคปเงียบๆ คน: หัวใจที่จับผิดกันเยอะที่สุด นิยามความต้องการก่อน แล้วค่อยหาคน รักษาคนด้วยการพัฒนา ไม่ใช่ลงโทษหรือเงินอย่างเดียว เพิ่มงานแนวนอน vs เพิ่มอำนาจแนวตั้ง เทคโนโลยีของกอง และการจ้างคนนอกมาช่วย งานจ้างได้ ความรับผิดชอบจ้างไม่ได้ ทีมหลากวัฒนธรรมกับ CQ stakeholder: คณะกรรมการตรวจสอบ · ใครถือทรัพยากร · จัดคนลงงาน ตารางกับดักรวม สิ่งที่จดสำหรับวันสอบ

เถ้าแก่เรียกหัวหน้ากองผู้ตรวจการเข้าไปคุยปลายปี ยื่นตัวเลขงบให้ดูแล้วถามตรงๆ ว่า “กองนี้ปีหน้าจะขอเท่าไหร่ แล้วเอาไปทำอะไรบ้าง คุ้มกับที่จ่ายไหม” — คำถามเดียวกับที่เถ้าแก่ถามหัวหน้าฝ่ายขาย หัวหน้าฝ่ายผลิต ทุกหน่วยในอาณาจักร

เพราะเอาเข้าจริง กองผู้ตรวจการก็เป็น “หน่วยธุรกิจ” หนึ่งเหมือนกัน มีคนต้องจ้าง มีเงินต้องใช้ มีเครื่องมือต้องซื้อ มีวิธีทำงานต้องวางเป็นระบบ แล้วก็มีคนที่ต้องพัฒนา-รักษาไว้ไม่ให้ลาออก คนที่นั่งเป็น chief audit executive (CAE) หัวหน้ากองผู้ตรวจการที่รายงานตรงต่อสภา ไม่ได้มีหน้าที่แค่ไปจับผิดคนอื่น แต่ต้องบริหารหน่วยงานตัวเองให้เป็นด้วย ไม่งั้นจะไปจับผิดคนอื่นได้ดีตั้งแต่แรกได้ยังไงล่ะครับ

ตอนนี้เลยเป็นบันทึกเรื่อง “บริหารกอง” — เอากองผู้ตรวจการมามองเป็นหน่วยที่ต้องจัดการ 4 อย่าง คือ วิธีทำงาน (methodologies) · เงิน · คน · เทคโนโลยี บวกกับการจ้างคนนอกมาช่วย แล้วก็การดูแลทีมที่มาจากหลายพื้นเพ เนื้อหาชุดนี้ข้อสอบ Part 3 ชอบออกมาก เพราะตัวหลอกมันฟังดูขยันดี ดูเป็นผู้นำดี แต่ดันผิดหลัก the Standards ซะงั้น

ตอนที่แล้วเราเพิ่งเปิด Part 3 (ตอนที่ 37) ด้วยการนั่งลงที่เก้าอี้ CAE วันแรก แล้วกางแผนที่ทั้ง Part เป็นสี่กอง — บริหารกอง วางแผนตรวจทั้งอาณาจักรแบบ risk-based คุมคุณภาพด้วย QAIP และกองใหญ่สุดคือสื่อสารผลตรวจกับติดตามผล ตอนนี้เราลงลึกกองแรกก่อน คือการบริหาร internal audit function ในฐานะหน่วยงานหนึ่งที่ต้องดูแลคน เงิน และวิธีทำงาน

โครงของบท#

  • CAE บริหารกองยังไง, methodologies คืออะไร และ เมื่อไหร่ต้องรื้อ — พร้อมเส้นทองว่าผู้ตรวจ “แนะนำได้ ห้ามลงมือทำเอง”
  • สมดุล assurance vs advisory และการจัดงบ — อิงอะไร ไม่อิงอะไร, ขาดงบต้องทำยังไง
  • บริหารคน: นิยามงานก่อนหาคน, รักษาคนด้วยการพัฒนา, และ job enlargement / enrichment / rotation ต่างกันตรงไหน
  • เทคโนโลยีของกอง + การจ้างคนนอก (BPO) มาช่วยตรวจ — งานจ้างได้ ความรับผิดชอบจ้างไม่ได้
  • stakeholder: คณะกรรมการตรวจสอบเป็นใคร, ใครรับผิดชอบทรัพยากร, จัดคนลงงานยังไง
  • ตารางกับดักรวม + สิ่งที่จดสำหรับวันสอบ

CAE บริหารกอง และ methodologies ที่ต้องคอยรื้อ#

เริ่มจากตัวคนที่รับผิดชอบก่อน the Standards วางไว้ชัดว่า CAE เป็นคนบริหาร internal audit function (กองผู้ตรวจการ ตอนนี้ใช้คำว่า function ไม่ใช่ activity แล้วนะ) แบบครบวงจร ตั้งแต่วางกลยุทธ์ หาและจัดสรรทรัพยากร สร้างความสัมพันธ์ สื่อสารกับ stakeholder ไปจนถึงดูแลผลงานของกองให้ได้ตามเป้า จะแบ่งงานบางส่วนให้ลูกทีม (delegate) ก็ได้ แต่ ความรับผิดชอบสุดท้ายยังอยู่ที่ตัวเอง โยนทิ้งไม่ได้

หัวใจของการบริหารกองอย่างหนึ่งคือ methodologies พูดง่ายๆ ก็คือ “วิธีทำงานที่วางเป็นระบบ” นโยบายและขั้นตอนที่ CAE ตั้งขึ้นมาให้กองทำงานอย่างมีระเบียบวินัย เป็นแบบแผนเดียวกัน จะได้เดินตามกลยุทธ์ ทำแผนตรวจ (audit plan) ให้ครบ แล้วก็สอดคล้องกับ the Standards มันอาจอยู่ในรูปเอกสารแยกเป็นเรื่องๆ (พวก standard operating procedure) หรือรวมเป็นคู่มือปฏิบัติงานของกองเล่มเดียวก็ได้ ขึ้นกับว่ากองใหญ่แค่ไหน โตแค่ไหน กองเล็กๆ อาจใช้แค่การกำกับใกล้ชิดรายวันกับบันทึกสั้นๆ ก็พอแล้ว

มุมเถ้าแก่/สภา: methodologies คือสิ่งที่ทำให้เถ้าแก่มั่นใจได้ว่า ไม่ว่าผู้ตรวจคนไหนไปตรวจงานไหน คุณภาพก็จะออกมาสม่ำเสมอ ไม่ใช่ขึ้นอยู่กับว่าวันนั้นใครไป มันคือระบบที่ทำให้กองไม่พังเวลาคนเก่งลาออก ความรู้ไม่ได้อยู่ในหัวคนคนเดียว แต่ถูกเขียนลงเป็นกระบวนการ

มุมผู้ตรวจ (คนสอบ): เรื่องที่ข้อสอบชอบถามคือ เมื่อไหร่ต้องรื้อ methodologies the Standards กำหนดให้ CAE ต้องคอยดูว่าวิธีทำงานยังได้ผลอยู่ไหม แล้วปรับปรุงเมื่อจำเป็น trigger ที่ทำให้ต้องรื้อ ก็จำไว้ประมาณนี้ครับ — มาตรฐานวิชาชีพหรือแนวทางเปลี่ยนไปมาก, กฎหมาย/ข้อบังคับ/เทคโนโลยีเปลี่ยน, ขนาดหรือองค์ประกอบของกองเปลี่ยน, หรือมี การเปลี่ยนตัว CAE หรือประธานสภา รวมถึงตอนที่กลยุทธ์และเป้าหมายธุรกิจขององค์กรขยับ ตัวเลข Standard ที่คุมเรื่องนี้คือ Standard 9.3 Methodologies แต่จำแค่เจตนาว่า “วิธีทำงานต้องมีชีวิต ต้องคอยอัปเดต” ก็พอ ไม่ต้องท่องเลข

เส้นทองของทั้งตอน: แนะนำได้ ห้ามลงมือทำเอง#

ก่อนไปเรื่องเงินเรื่องคน ต้องตอกเส้นนี้ให้แน่นก่อน เพราะมันคือกับดักที่วิ่งผ่านทั้งตอนเลย กองผู้ตรวจการมีหน้าที่ ประเมินและเสนอแนะ ให้ความเชื่อมั่น (assurance) เกี่ยวกับ governance, risk management และ control — แต่คนที่ เป็นเจ้าของ ออกแบบ ติดตั้ง แล้วก็รับเอาไปใช้ คือฝ่ายบริหารกับสภาต่างหาก ผู้ตรวจไม่ลงไปสร้าง ไม่ลงไปเป็นเจ้าของ ไม่ลงไปรันสิ่งที่ตัวเองตรวจ

ลองคิดดูนะ ถ้าจ้างช่างมาตรวจบ้านก่อนซื้อ เขาชี้ได้ว่าคานตรงนี้อ่อน ผนังตรงนั้นร้าว ควรเสริมยังไง — แต่เขาไม่ใช่คนถือค้อนขึ้นไปทุบซ่อมเอง เพราะถ้าเขาซ่อมเอง วันหลังใครจะมาตรวจล่ะว่าที่เขาซ่อมมันดีจริงไหม ก็กลายเป็นตรวจงานตัวเอง จบเห่ นั่นแหละบทบาทของผู้ตรวจ

มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: ข้อสอบจะโปรยตัวเลือกที่ใช้ กริยาแบบลงมือทำ มาให้ผู้ตรวจไปทำ เช่น design controls (ออกแบบ control), develop a custom framework (สร้าง framework เอง), update the risk management process, immediately adopt a framework (รับ framework มาใช้เอง), determine how the risk should be managed (ตัดสินว่าจะจัดการความเสี่ยงยังไง) — ทั้งหมดนี้ผิด เพราะมันเป็นงานของฝ่ายบริหาร ถามตัวเองข้อเดียวพอ — ตัวเลือกนี้ให้ผู้ตรวจ “สร้าง เป็นเจ้าของ หรือรัน” สิ่งที่ตัวเองตรวจหรือเปล่า ถ้าใช่ = ผิด ที่ถูกคือ ประเมิน · ให้ assurance · เสนอแนะให้ฝ่ายบริหารไปทำ

มีมุมกลับที่เนียนมาก ⚠️ กับดัก: บางทีคำตอบที่ถูกกลับเขียนว่า implement additional control measures ซะงั้น — ตรงนี้ต้องอ่านให้ดีว่า ใครเป็นคนทำ ถ้าประโยคมันคือ “ผู้ตรวจแนะนำให้ฝ่ายบริหาร implement” อันนี้ถูก เพราะคนลงมือคือฝ่ายบริหาร ผู้ตรวจแค่แนะนำ แล้วก็ถ้าองค์กรยังไม่มี governance framework เลย ผู้ตรวจก็ ไม่รับ framework มาใช้เอง แต่ แนะนำ framework ที่ยอมรับกันเป็นสากล (เช่น COSO) ให้ฝ่ายบริหารหรือสภาไปรับไปใช้ ไม่ใช่ไปคิดค้น framework ของตัวเองขึ้นมา

อย่าลดมาตรฐานให้เข้ากับของที่อ่อน#

พ่วงกับเส้นทองอันบน มีกับดักคู่แฝดที่ต้องระวัง เวลาเจอสถานการณ์ว่า control หรือกระบวนการ ไม่สอดคล้องกับ risk tolerance (ระดับความเสี่ยงที่องค์กรรับได้) เช่น องค์กรบอกว่ารับความเสี่ยงได้แค่นี้ แต่ control ที่มีอยู่ดันอ่อนเกินกว่าจะคุมให้อยู่ในระดับนั้น วิธีแก้ที่ถูกคือ ยกระดับ control/กระบวนการขึ้นให้ทันกับ tolerance ไม่ใช่ไปลด tolerance ลงมาหา control ที่อ่อน

มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: ทางลัดที่ล่อใจสุดๆ คือตัวเลือก increase risk tolerance / raise the acceptable level of risk (ดันเพดานความเสี่ยงที่ยอมรับให้สูงขึ้น) หรือ accept the risks without action (ยอมรับความเสี่ยงไปเฉยๆ) — พวกนี้ทำให้ “ความไม่สอดคล้อง” หายไปบนกระดาษก็จริง แต่ไม่ได้ลดความเสี่ยงจริงเลยแม้แต่นิดเดียว อีกตัวหลอกคือ reduce the scope ของการบริหารความเสี่ยงให้ง่ายลง (มองข้ามความเสี่ยงสำคัญไป) แล้วก็พวกงานยุ่งๆ ที่ไม่แตะต้นเหตุ เช่นเพิ่มความถี่ในการตรวจ หรือจ้างที่ปรึกษา ก็ผิดเหมือนกัน คำตอบที่ถูกเสมอคือ แก้ที่ control/กระบวนการ ไม่ใช่ไปแก้ที่ tolerance

เงิน: สมดุล assurance-advisory และงบที่อิงความเสี่ยง#

กองผู้ตรวจการทำงานสองด้าน — assurance (การให้ความเชื่อมั่น: เข้าไปประเมินอย่างเป็นอิสระแล้วออก engagement conclusion) กับ advisory (การให้คำปรึกษา ช่วยแนะนำโดยไม่ออกความเห็นทางการและไม่รับบทบาทฝ่ายบริหาร) สองด้านนี้กินทรัพยากรคนละแบบ พอทรัพยากรมันมีจำกัด ทุ่มไปทางนึงมาก อีกทางก็เหลือน้อยลง CAE เลยต้องชั่งสมดุลนี้ทุกปีตอนทำงบประจำปี

คำถามคือ ชั่งด้วยอะไร? คำตอบตาม the Standards: อิง ความต้องการของ stakeholder บวกกับลำดับความสำคัญเชิงกลยุทธ์และความเสี่ยง — ไม่ใช่อย่างอื่น

มุมเถ้าแก่/สภา: งบประจำปีของกอง คือเอกสารที่ CAE ใช้ “ขายคุณค่า” ให้สภาเห็นว่าจ่ายเท่านี้แล้วได้อะไรกลับมา สภาจะได้เห็นว่ากองมีทรัพยากรพอจะทำตามหน้าที่ (mandate) หรือเปล่า ส่วนงบระดับ engagement ก็เป็นงบย่อยลงมาที่คุมว่างานตรวจแต่ละงานจะมีคนมีเวลาพอทำให้จบอย่างมีคุณภาพไหม งบสองชั้นนี้คนละหน้าที่กันแต่เกี่ยวกัน — engagement budget มันเป็นชิ้นส่วนของ annual budget ที่สภาอนุมัติมาแล้วอีกที

มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: ข้อสอบชอบเอาตัวขับที่ “ผิด” มาล่อ — personal preferences of the internal auditors (ผู้ตรวจชอบอะไรก็จัดไปตามนั้น) ผิดเสมอ, historical allocation from previous years (แบ่งตามปีที่แล้ว) ใช้ประกอบได้แต่ไม่ใช่ตัวกำหนด, availability of external consultants (มีที่ปรึกษานอกว่างไหม) เป็นเรื่องรอง, แล้วตัวเนียนสุดคือ equal 50/50 split ระหว่าง assurance กับ advisory — มันคือ “สมดุล” ที่เป็นตัวเลขเป๊ะๆ ไม่ใช่ “สมดุล” ที่อิงความต้องการจริง อันนี้ผิด แล้วก็ถ้าเหลือตัวเลือกดีๆ สองอัน ตัวที่บอกว่า “ไปคุยกับ stakeholder เพื่อเรียนรู้ว่าเขาให้ความสำคัญกับอะไร” จะชนะตัวที่พูดลอยๆ ว่า “จัดสมดุลงบ” เสมอ

ขาดงบ ต้องบอกสภา อย่าตัดสโคปเงียบๆ#

ต่อเนื่องเรื่องเงิน กับดักที่ข้อสอบรักมากคือ “งบไม่พอ ทำยังไง” กฎที่ต้องจำมี สองกิ่ง อย่าสลับกันเด็ดขาด

กิ่งที่หนึ่ง — รู้อยู่แล้วว่าทรัพยากรขาด: เช่นตอนทำงบประจำปีเห็นว่างบที่ได้ไม่พอ หรือถูกตัดงบลงเยอะ หรืองบอบรมที่จำเป็นไม่พอ หน้าที่ของ CAE คือ สื่อสารผลกระทบให้สภาและผู้บริหารระดับสูงรู้ ขอเงินเพิ่มหรือขอให้ทบทวน ห้ามตัดสโคปงานตรวจเงียบๆ ห้ามลดเงินเดือน/สวัสดิการ/งบอบรมของทีมเพื่อไปกลบส่วนที่ขาด แล้วก็ห้ามโยนงานเพิ่มให้คนเดิมจนไหม้ เพราะทั้งหมดนั้นมันทำลายความโปร่งใสและ coverage ของการให้ความเชื่อมั่น

กิ่งที่สอง — เพิ่งเจอปัญหาโผล่ขึ้นมา: เช่น ตัวเลขจริงเบี่ยงจากงบที่วางไว้มาก (variance) หรือระหว่างทำโปรเจกต์ติดตั้ง software มีค่าที่ปรึกษาที่ไม่ได้คาดไว้โผล่ขึ้นมา คราวนี้ก้าวแรกที่ถูกจะ พลิก เป็น วิเคราะห์ต้นเหตุก่อน หาทางเลือกภายในงบที่มีก่อน แล้วค่อยเอาภาพที่ครบไปคุยกับสภา

มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: ความยากมันอยู่ตรงนี้แหละ — ถ้าโจทย์คือ “งบขาด/ถูกตัด” การรีบวิเคราะห์เองเงียบๆ ก็ช้าไป ควรบอกสภา แต่ถ้าโจทย์คือ “เพิ่งค้นพบ variance/ค่าใช้จ่ายแปลกๆ” การรีบวิ่งไปหาสภาเลยกลับกลายเป็นตัวหลอก “รีบเกินไป” ควรวิเคราะห์ต้นเหตุก่อน เพราะฉะนั้นอ่านโจทย์ให้ขาดว่า “รู้อยู่แล้วว่าขาด” หรือ “เพิ่งเจอปัญหา” แล้วก็มีเคสพิเศษอีกอัน — ถ้าโจทย์ถามแค่ว่า “จะแก้งานที่ล่าช้าด้วยทรัพยากรที่มีอยู่ยังไง” คำตอบคือ จัดสรรทรัพยากรที่มีใหม่ตามลำดับความสำคัญและ deadline อันนี้ไม่ใช่เรื่องปิดช่องว่างงบ เลยไม่ต้องวิ่งไปหาสภาครับ

คน: หัวใจที่จับผิดกันเยอะที่สุด#

เนื้อหาส่วนคนยาวและออกข้อสอบเยอะ เพราะกับดักมันเยอะ CAE ต้องวางแนวทาง สรรหา · พัฒนา · รักษา ผู้ตรวจที่มีคุณสมบัติพอจะทำแผนตรวจให้สำเร็จ แล้วก็ต้องดูให้ทรัพยากรคน appropriate, sufficient, and effectively deployed (เหมาะสม เพียงพอ และวางกำลังอย่างมีประสิทธิภาพ) เพื่อทำตามแผนที่อนุมัติแล้ว — จำวลีสามคำนี้ให้แม่น เดี๋ยวมีกับดักคำพ้องมาหลอกแน่

นิยามความต้องการก่อน แล้วค่อยหาคน#

กับดักคลาสสิคที่สุดของเรื่องสรรหา คือคำถามแบบ “ก้าวแรก (FIRST) คืออะไร” คำตอบเกือบทุกครั้งคือ นิยามความต้องการก่อน — เขียน job description (คำบรรยายลักษณะงาน) / วิเคราะห์ช่องว่างทักษะ (skill-gap analysis) / ทำ needs assessment ยังไม่ใช่การรีบไปลงประกาศ ยังไม่ใช่การตั้งงบ ยังไม่ใช่การติดต่อบริษัทจัดหาคน

มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: ตัวหลอกทุกตัวเป็น “ขั้นตอนที่ถูก แต่มันมาทีหลัง” — post the job on boards (ลงประกาศ) เป็นเฟสโฆษณา, contact recruitment agencies (ติดต่อบริษัทจัดหาคน) เป็นเฟสหาคน, establish the budget (ตั้งงบ) ก็ตามหลังการนิยามบทบาท ทุกตัวถูกในลำดับของมันเอง แต่ผิดเมื่อโจทย์ถามว่า “ก้าวแรก” ข้อสอบมันเดิมพันว่าคุณจะรีบคว้าตัวเลือกที่ฟังดูลงมือทันที ตัวช่วยตัดสินคือ เลือกตัวที่ จับมือกับฝ่าย HR + อิง competency framework เพื่อระบุว่าบทบาทนี้ต้องการอะไรจริงๆ เวอร์ชันเทคโนโลยีก็เหมือนกัน ก่อนจะซื้อ tool วิเคราะห์ข้อมูล ก้าวแรกคือ conduct a needs assessment ไม่ใช่รีบ hire data scientists ครับ

รักษาคนด้วยการพัฒนา ไม่ใช่ลงโทษหรือเงินอย่างเดียว#

พอเจอโจทย์ turnover สูง ขวัญกำลังใจตก คนหมดไฟ — คำตอบตาม the Standards คือ CAE ต้อง พัฒนาคน: mentoring (พี่เลี้ยง), coaching, ให้ feedback ที่สร้างสรรค์, อบรม, ทำเส้นทางก้าวหน้าในอาชีพให้ชัด, มีระบบ recognition ที่จริงใจ ไม่ใช่ ไปลงโทษ ไม่ใช่ล่อด้วยเงินอย่างเดียว ไม่ใช่โยนงานเพิ่มให้

มุมเถ้าแก่/สภา: คนในกองผู้ตรวจการคือสินทรัพย์ที่แพงและหายาก กว่าจะฝึกผู้ตรวจให้เก่งได้ใช้เวลานาน ถ้าปล่อยให้ลาออกเรื่อยๆ องค์กรก็เสียทั้งเงินฝึกและความรู้ที่สะสมมาทั้งหมด การลงทุนพัฒนาคนก็คือการรักษาสินทรัพย์ตัวนี้ไว้นั่นแหละ

มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: ตัวหลอกจะฟังดู “เด็ดขาด” แบบผู้นำ — increase performance targets (ตั้งเป้าให้สูงขึ้น), provide only financial incentives (ล่อด้วยเงินอย่างเดียว), stricter penalties / competitive ranking (ลงโทษเข้มขึ้น/จัดอันดับแข่งกัน), hire more auditors โดยไม่พัฒนา, rotate auditors regardless of their career interests (สับเปลี่ยนงานโดยไม่สนความสนใจของเขา), หรือ limit development to focus on targets (ตัดการพัฒนาเพื่อไปโฟกัสเป้า) — ผิดหมด เพราะมันบั่นทอนขวัญและก่อการชิงดีชิงเด่น ถ้าตัวเลือกพัฒนาชนกันสองอัน ให้เลือกตัวที่มองระยะยาว (career path ที่ชัดเจน) เหนือตัวที่ตั้งรับ (เช่น exit interview) มีข้อยกเว้นเดียว — ถ้าต้นเหตุ turnover คือ ตารางงานที่แข็งเกินไป (เช่นพนักงานมีลูกเล็ก) คำตอบให้จับคู่ตรงเหตุ = flextime (ตารางงานยืดหยุ่น) ครับ

เพิ่มงานแนวนอน vs เพิ่มอำนาจแนวตั้ง#

เรื่อง job design เป็นชุดศัพท์ที่ข้อสอบชอบเอามาสลับป้ายกันตรงๆ เลย จำสามคำนี้ให้แยกขาดจากกัน:

  • Job enlargement (การขยายงาน) = เพิ่ม งานคล้ายๆ กันหลายอย่าง เข้ามาในตำแหน่งเดียว เป็นการโหลดงาน แนวนอน (horizontal loading) จุดประสงค์คือแก้ความเบื่อจากงานซ้ำซาก
  • Job enrichment (การเพิ่มคุณค่างาน) = เพิ่ม อำนาจ ความรับผิดชอบ การมีส่วนร่วมในการวางแผนและควบคุม เป็นการโหลดงาน แนวตั้ง (vertical loading) ตัวนี้ให้ผลจูงใจ สูงสุด
  • Job rotation (การหมุนเวียนงาน) = ย้ายคนไปทำงานอื่น สลับหน้าที่ ได้ผลพลอยได้เป็น cross-functional training

และมี job redesign เป็นภาพใหญ่กว่า — กุญแจของการออกแบบงานใหม่ให้จูงใจคือ ปรับเนื้องานให้เข้ากับความต้องการเติบโตของแต่ละคน

มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: คู่ที่พลาดกันมากสุดคือสลับ horizontal loading (enlargement) กับ vertical loading (enrichment) แล้วก็เอา cross-training มาตอบว่าเป็น enrichment/enlargement ทั้งที่จริงมันคือ rotation อีกจุดนึง — ถ้าถามว่า “อันไหนให้ผลจูงใจสูงสุด” คำตอบคือ enrichment เสมอ อย่าเผลอตอบ enlargement หรือ rotation แล้วก็งานสายพานที่ทำซ้ำๆ แบบ assembly-line ถึงจะฟังดูเป็นกลางๆ แต่จริงๆ มัน ทำให้การขาดงาน การลาออก และความผิดพลาดสูงสุด — ถ้าโจทย์ถามว่า “งานแบบไหนคนพอใจน้อยสุด/ขาดงานมากสุด” นี่แหละคำตอบ

เทคโนโลยีของกอง และการจ้างคนนอกมาช่วย#

CAE ต้องดูให้กองมีเทคโนโลยีพอที่จะทำงานได้ดีและเร็ว แล้วก็ต้องคอยประเมินเครื่องมือที่ใช้อยู่ว่ายังดีอยู่ไหม มีอะไรที่ปรับให้ดีขึ้นได้อีก ตัวอย่างเทคโนโลยีที่ใช้กันก็เช่น ระบบจัดการงานตรวจ, เครื่องมือทำแผนผังกระบวนการ governance/risk/control, เครื่องมือช่วยวิเคราะห์ข้อมูล, แล้วก็เครื่องมือช่วยสื่อสาร-ทำงานร่วมกัน ที่สำคัญคือ CAE ต้องคำนึงถึง ข้อจำกัดด้านงบ เวลาจะซื้อของใหม่ แล้วก็ต้องรายงานให้สภากับผู้บริหารรู้ ถ้าข้อจำกัดด้านเทคโนโลยีมันไปกระทบประสิทธิภาพของกอง ส่วนเวลาประเมินว่าจะซื้อเทคโนโลยีตัวไหน ก็ต้องดูตั้งแต่ hardware, software, ข้อมูล, กฎหมาย/ความเป็นส่วนตัว, การฝึกทีม, การรองรับต่อเนื่อง, การเชื่อมกับระบบเดิม ไปจนถึง scalability

ทีนี้มาถึงเรื่องใหญ่ที่ข้อสอบชอบ คือ การจ้างคนนอกมาช่วยงานตรวจ องค์กรอาจตัดสินใจใช้ผู้ให้บริการภายนอกมาทำงานตรวจบางส่วนหรือทั้งหมดก็ได้ รูปแบบนี้เชื่อมกับแนวคิด business process outsourcing (BPO) — การยกกระบวนการงานให้หน่วยงานภายนอกรับไปทำ CAE จะจ้างมาเสริมจุดที่ทีมในบ้านอ่อน, เพิ่มความยืดหยุ่นของแผนตรวจ, แล้วบางที stakeholder ก็มองว่าคนนอกดูเป็นอิสระกว่าด้วย แต่ก็ต้องบริหารความเสี่ยงจากผู้ให้บริการด้วยนะ (คุณภาพ, ความต่อเนื่อง, cybersecurity, จริยธรรม) แล้วก็อาจใช้หลายเจ้าเพื่อไม่ให้กระจุกอยู่กับรายเดียว

งานจ้างได้ ความรับผิดชอบจ้างไม่ได้#

นี่คือหลักที่ต้องตอกให้แน่น องค์กร outsource งานตรวจได้ จะจ้างบางส่วน ทั้งหมด หรือทำร่วมกัน (cosourcing คือผู้ตรวจในบ้านทำงานร่วมกับผู้ให้บริการนอก) ก็ได้ แต่การกำกับดูแลและความรับผิดชอบต่อ function จ้างออกไปไม่ได้ ความรับผิดชอบยังอยู่ที่องค์กรและสภาเสมอ ผู้ให้บริการภายนอกยังต้อง เตือนองค์กรด้วยซ้ำว่าองค์กรยังเป็นผู้รับผิดชอบสุดท้าย ส่วนวิธีที่องค์กรพิสูจน์ว่ายังกำกับดูแลงานที่ outsource ออกไปอยู่ ก็ทำผ่าน QAIP (โปรแกรมประกันและปรับปรุงคุณภาพ)

มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: ตัวหลอกฝั่ง outsource แบบสุดโต่ง (must outsource the entire function, oversight is also outsourced, the third party becomes responsible) ผิดหมด เพราะความรับผิดชอบมันไม่โอนไปไหน อีกกับดักคือ เกณฑ์ที่ใช้ตัดสินว่าจะเชื่องานของผู้ให้บริการรายอื่นได้ไหม ที่ถูกคือดู methodology ที่มีเอกสาร, หลักฐาน, ความเป็นอิสระและความเที่ยงธรรม ไม่ใช่ reputation and testimonials (ชื่อเสียง/คำรับรอง), years of experience (ประสบการณ์กี่ปี), หรือ staff certifications (ใบเซอร์ของทีม) พวกนี้มันเป็นเรื่องอ้อม ไม่ใช่เกณฑ์หลัก — ดู วิธีทำ ไม่ใช่ชื่อเสียง

มุมเถ้าแก่/สภา: เรื่องนี้ช่วยให้สภานอนหลับได้ — ต่อให้จ้างบริษัทดังแค่ไหนมาตรวจ ถ้าเกิดอะไรผิดพลาด สภาก็ยังหนีความรับผิดชอบไม่พ้นอยู่ดี เพราะงั้นการเลือกดูที่ “เขาทำงานยังไง มีหลักฐานไหม เป็นอิสระจริงไหม” มันสำคัญกว่าดูโลโก้บนนามบัตรเยอะ

ทีมหลากวัฒนธรรมกับ CQ#

พอกองเริ่มจ้างคนหลากหลาย จ้างคนนอกข้ามพรมแดน หรือตรวจหน่วยงานในหลายประเทศ ก็มาถึงเรื่องการทำงานกับทีมที่มาจากหลายพื้นเพวัฒนธรรม สิ่งที่ช่วยได้คือ cultural intelligence (CQ) — ความสามารถในการเข้าใจและปรับตัวเข้ากับคนต่างวัฒนธรรม อ่านบริบทออกว่าที่นี่เขาสื่อสารกันแบบไหน ให้ความเคารพกันยังไง สำหรับ CAE ที่บริหารทีมหลากหลาย CQ ช่วยให้จัดทีม สื่อสาร และให้ feedback ได้ตรงจริตของแต่ละคน ลดความขัดแย้งจากความเข้าใจผิดข้ามวัฒนธรรม แล้วการรับคนพื้นเพหลากหลายเข้ามาเองก็เป็นข้อดีที่ the Standards แนะนำให้ CAE พิจารณาตอนสรรหาอยู่แล้วด้วย

stakeholder: คณะกรรมการตรวจสอบ · ใครถือทรัพยากร · จัดคนลงงาน#

ปิดท้ายด้วยความสัมพันธ์กับ stakeholder สามเรื่องที่ข้อสอบชอบออก

คณะกรรมการตรวจสอบ (audit committee) เป็นใคร: มันเป็นหน่วยย่อยของสภา หน้าที่สำคัญที่สุดของมันคือ ปกป้องความเป็นอิสระของผู้ตรวจจากอิทธิพลของฝ่ายบริหาร ก็เพราะแบบนี้แหละ สมาชิกถึงต้องเป็น outside director (กรรมการอิสระที่ไม่ใช่ลูกจ้างขององค์กร) แล้วอย่างน้อยหนึ่งคนต้องเป็นผู้เชี่ยวชาญด้านการเงิน

มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: ตัวหลอกฝั่ง “คนใน” (เอา officer, VP ฝ่ายปฏิบัติการ, CEO/CFO, หรือ “มีตัวแทนจากทุกกลุ่ม stakeholder” มาเป็นสมาชิก) ฟังดูครอบคลุมดี แต่ดันทำลายความเป็นอิสระ ผิดหมด ส่วนตัวหลอกฝั่ง “งานที่สภาทั้งชุดก็ทำได้” เช่น review annual work schedules, review procedures manuals พวกนี้เป็นงานจริง แต่ไม่ใช่ประโยชน์ เฉพาะตัว ของคณะกรรมการตรวจสอบ แล้วตัวหลอกฝั่ง “งานของ CAE” เช่น approve engagement work programs / staffing ก็เป็นของ CAE ไม่ใช่ของคณะกรรมการ ถ้าถามว่า “ประโยชน์สำคัญที่สุด” ตอบ ปกป้องความเป็นอิสระของผู้ตรวจ (หรือการดูว่าข้อจำกัดสโคปขวางการทำ mandate ไหม) แต่ระวังมุมกลับด้วย ⚠️ กับดัก: ถ้าโจทย์พลิกเป็น “อะไรทำลายความเป็นอิสระ/เป็นจุดอ่อนของ control” คราวนี้คำตอบกลายเป็น สมาชิกที่เป็นคนในฝ่ายบริหาร ครับ

ใครรับผิดชอบทรัพยากร: CAE เป็นผู้รับผิดชอบ โดยตรง ต่อทรัพยากรของกอง ส่วนผู้บริหารระดับสูงและสภาแค่ กำกับให้เพียงพอ (ensure adequacy) เท่านั้น เพราะ CAE จ้างคนเองไม่ได้ แล้วสภาก็เป็นคนอนุมัติงบ

มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: สลับบทบาท — เอา “สภา/ผู้บริหารระดับสูงต้องรับผิดชอบทรัพยากรเป็นหลัก” มาเป็นคำตอบ อันนี้ผิด เขาแค่กำกับ ไม่ได้เป็นเจ้าของ แล้วมีกับดักคำพ้องอีกชั้น วลีที่ถูกต้องเป๊ะๆ คือทรัพยากรต้อง appropriate, sufficient, and effectively deployed อย่าไปเผลอตอบชุดคำพ้องที่ฟังดูดีแต่ผิด เช่น relevant, adequate, practical หรือ suitable, satisfactory คู่ความหมายที่ต้องจับให้ตรงคือ appropriate = ส่วนผสมของทักษะ, sufficient = ปริมาณคนพอทำแผน, effectively deployed = วางกำลังให้ทำแผนที่อนุมัติได้ดีที่สุด แล้วก็ถ้าถามว่า “ปัจจัยไหนสำคัญน้อยสุดต่อความเพียงพอ” คำตอบคือ audit universe (ขอบเขตงานตรวจที่เป็นไปได้ทั้งหมด) เพราะความเพียงพอมันวัดที่ปริมาณคนพอทำ แผนที่อนุมัติแล้ว ไม่ใช่ทุกงานที่เป็นไปได้

จัดคนลงงานยังไง: เลือกผู้ตรวจลง engagement โดยดู ความซับซ้อนของงาน + ทักษะ/ทรัพยากรที่มี เป็นหลัก ส่วนความอยากอบรมหรือความสนใจส่วนตัวของผู้ตรวจเป็นแค่เรื่องรอง

มุมผู้ตรวจ (คนสอบ): ⚠️ กับดัก: ตัวหลอกที่แต่งตัวเนียนสุดคือ lapsed time since the last engagement (เวลาที่ผ่านไปตั้งแต่ตรวจครั้งก่อน) — จริงๆ มันคือปัจจัย การจัดตาราง (scheduling) ไม่ใช่ปัจจัยจัดคน (staffing) เหมือนกับ length of the engagement (ความยาวงาน) ที่ไปกระทบงบ/ตาราง ไม่ใช่เรื่องว่าใครเหมาะ ถ้าถามว่า “ปัจจัยไหนควรให้น้ำหนักน้อยสุด/ตัดออกก่อน” คำตอบคือพวก lapsed time / length / ความชอบส่วนตัว ไม่ใช่ปัจจัยทักษะ-ความซับซ้อน แล้วก็ถ้าถามเรื่องออกแบบ การอบรม ก้าวแรกคือดู เป้าหมายขององค์กร ก่อน ไม่ใช่รีบเริ่มที่เนื้อหาหรืองบ

ตารางกับดักรวม#

สถานการณ์คำตอบหลอกคำตอบจริง
ยังไม่มี governance frameworkผู้ตรวจสร้าง framework เอง / รับมาใช้เองแนะนำ framework สากล (COSO) ให้ฝ่ายบริหาร/สภาไปรับใช้
ตัวเลือกถูกเขียนว่า implement controlตัดทิ้งเพราะคิดว่าผู้ตรวจห้ามทำอ่านว่าใครทำ — “แนะนำให้ฝ่ายบริหาร implement” ถูก
control อ่อนกว่า risk toleranceดัน tolerance ให้สูงขึ้น / ยอมรับความเสี่ยงไปยกระดับ control/กระบวนการขึ้นให้ทัน tolerance
จัดงบ assurance vs advisoryแบ่ง 50/50 / ตามที่ผู้ตรวจชอบ / ตามปีที่แล้วอิงความต้องการ stakeholder + กลยุทธ์ + ความเสี่ยง
งบถูกตัด / รู้ว่าขาดตัดสโคปเงียบๆ / ลดเงินเดือน / โยนงานเพิ่มสื่อสารผลกระทบให้สภา ขอทบทวนงบ
เพิ่งเจอ variance / ค่าใช้จ่ายแปลกรีบวิ่งไปหาสภาทันทีวิเคราะห์ต้นเหตุ + หาทางเลือกในงบก่อน
ก้าวแรกของการสรรหาคนลงประกาศ / ติดต่อ agency / ตั้งงบนิยามงานก่อน — job description / skill-gap / needs assessment
turnover สูง ขวัญตกเพิ่มเป้า / เงินอย่างเดียว / ลงโทษเข้มmentoring, coaching, feedback, career path, recognition
turnover จากตารางงานแข็งจัดโปรแกรมพัฒนาทั่วไปflextime — จับคู่ให้ตรงเหตุ
ให้ผลจูงใจสูงสุดjob enlargement / rotationjob enrichment (โหลดแนวตั้ง)
cross-training คือenrichment / enlargementjob rotation
เชื่องานผู้ให้บริการนอกได้ไหมดูชื่อเสียง / ประสบการณ์ / ใบเซอร์ดู methodology มีเอกสาร + หลักฐาน + ความเป็นอิสระ
outsource งานตรวจความรับผิดชอบ/การกำกับโอนให้คนนอกงานจ้างได้ ความรับผิดชอบอยู่ที่องค์กร (พิสูจน์ผ่าน QAIP)
สมาชิกคณะกรรมการตรวจสอบมี officer/CEO/CFO / ตัวแทนทุกกลุ่มoutside director อิสระจากฝ่ายบริหาร
ประโยชน์สำคัญสุดของคณะกรรมการตรวจสอบreview ตารางงาน / อนุมัติ work programปกป้องความเป็นอิสระของผู้ตรวจจากฝ่ายบริหาร
ใครรับผิดชอบทรัพยากรกองเป็นหลักสภา / ผู้บริหารระดับสูงCAE (สภาแค่กำกับให้เพียงพอ)
ทรัพยากรต้องเป็นอย่างไรrelevant, adequate, practicalappropriate, sufficient, effectively deployed
ปัจจัยจัดคนลงงานlapsed time / ความยาวงาน / ความชอบความซับซ้อน + ทักษะ/ทรัพยากรที่มี

สิ่งที่จดสำหรับวันสอบ#

  • แนะนำได้ ห้ามลงมือทำเอง — ถ้าตัวเลือกให้ผู้ตรวจ design/implement/adopt/manage/own สิ่งที่ตัวเองตรวจ = ผิด อ่านทุกครั้งว่า “ใครเป็นคนทำ”
  • ไม่มี framework → แนะนำของสากลให้เขาไปรับใช้ ไม่ใช่คิดเอง ไม่ใช่รับมาใช้เอง
  • control อ่อน → ยกระดับ control อย่าลด tolerance ลงมาหาของอ่อน
  • งบ = ความต้องการ stakeholder + กลยุทธ์ + ความเสี่ยง ไม่ใช่ 50/50 ไม่ใช่ความชอบ ไม่ใช่ปีที่แล้ว
  • ขาดงบ (รู้แล้ว) → บอกสภา / เพิ่งเจอปัญหา → วิเคราะห์ต้นเหตุก่อน สองกิ่งอย่าสลับ
  • ก้าวแรกของการสรรหา = นิยามงาน (job description / skill-gap / needs assessment) เสมอ
  • รักษาคน = พัฒนา (mentoring/coaching/feedback/career path/recognition) ไม่ใช่ลงโทษหรือเงินอย่างเดียว · ตารางแข็ง → flextime
  • enlargement = แนวนอน (แก้เบื่อ) · enrichment = แนวตั้ง (จูงใจสูงสุด) · rotation = สลับงาน/cross-train
  • BPO: งานจ้างได้ ความรับผิดชอบ+การกำกับจ้างไม่ได้ พิสูจน์ว่ายังกำกับผ่าน QAIP · เชื่องานคนนอกดูที่ methodology+หลักฐาน+ความเป็นอิสระ ไม่ใช่ชื่อเสียง
  • คณะกรรมการตรวจสอบ = outside director ปกป้องความเป็นอิสระ · ถ้าถามจุดอ่อน → คนในคือคำตอบ
  • CAE รับผิดชอบทรัพยากรโดยตรง สภาแค่กำกับ · ทรัพยากรต้อง appropriate, sufficient, effectively deployed
  • จัดคน = ความซับซ้อน + ทักษะ · lapsed time/ความยาวงาน = scheduling ไม่ใช่ staffing
  • ศัพท์ GIAS: CAE, internal audit function, mandate, engagement conclusion, advisory, activity under review — จำเจตนา เลข Standard (9.3, 10.1-10.3) ไม่ต้องท่อง

บริหารกองให้เดินได้แล้ว คำถามถัดมาคือกองนี้จะเดินไป ทางไหน — ตอนหน้าเราคุยเรื่องยุทธศาสตร์ของกองผู้ตรวจ ว่ามันต้องเกาะกับกลยุทธ์และความเสี่ยงขององค์กรยังไง แล้วอะไรคือ trigger จริงที่ทำให้ต้องรื้อ strategy ใหม่ ตอนถัดไป: ยุทธศาสตร์ของกองผู้ตรวจ

อ้างอิง: Gleim CIA Review (2026), Part 3 · IIA Global Internal Audit Standards (2024)