1157 คำ
6 นาที
CIA Series ตอนที่ 40 : P3 - คุยกับสภา: การสื่อสารของ CAE
สารบัญ

ลองนึกภาพเถ้าแก่นั่งหัวโต๊ะประชุมสภาไตรมาสละครั้ง วาระของกองผู้ตรวจการถูกจัดไว้ท้ายๆ เหลือเวลาจริงๆ ประมาณสิบนาที แล้ว CAE (chief audit executive — หัวหน้ากองผู้ตรวจการ) ก็ได้คิวลุกขึ้นพูด คำถามที่โหดที่สุดไม่ใช่ว่า “จะพูดอะไร” แต่คือ “สิบนาทีนี้จะเลือกอะไรขึ้นโต๊ะก่อน” เพราะเรื่องที่อยากเล่ามันมีเป็นสิบ ทั้งแผนตรวจทั้งปี ความเสี่ยงที่โผล่ใหม่ ทีมขาดคน ผลประเมินคุณภาพ แล้วก็เรื่องคาใจว่ามีคนพยายามกดดันให้กองผู้ตรวจการเบามือหน่อย เอาตรงๆ พอเลือกเรื่องผิด หรือเลือกถูกแต่พูดผิดจังหวะ ความเชื่อมั่นที่สภามีต่อกองทั้งกองก็สั่นได้ตั้งแต่ยังไม่ทันจบวาระเลยครับ

ตอนที่แล้ว (ตอนที่ 39) เราวางยุทธศาสตร์ของกองผู้ตรวจไป ว่า internal audit strategy ต้อง align กับกลยุทธ์ธุรกิจและความเสี่ยงขององค์กร แยก mission จาก vision ใช้ SWOT กับ gap analysis ให้ถูกจังหวะ และ trigger จริงที่ทำให้ต้องรื้อ strategy คือการเปลี่ยนที่รากขององค์กร ตอนนี้เราจะเอาเรื่องพวกนั้นขึ้นโต๊ะสภาจริงๆ — CAE จะสื่อสารกับ board ยังไงในเวลาไม่กี่นาที

โครงของบท#

  • Formal กับ informal communication ต่างกันที่ช่องทาง — เป็นทางการ/มีโครง (รายงาน แผน ประชุม) กับ ไม่เป็นทางการ/ปากเปล่า (คุยข้างโต๊ะ) ทั้งคู่มีค่า แต่ใช้คนละงาน
  • เรื่องหลักที่ CAE ต้องสื่อสาร — audit plan และการเปลี่ยนแปลง, ประเด็น independence, ความเสี่ยงและ control ที่ไม่ได้ผล, ผลงานของ engagement, ผล quality assessment, การเปลี่ยนแปลงที่กระทบ mandate/charter
  • ความเสี่ยงที่ management ยอมรับเกินเพดาน — คุยกับ senior management ก่อน แล้ว escalate ถึง board เฉพาะเมื่อไม่ถูกแก้ ห้ามข้ามหัวไป board ทันที
  • CAE สื่อสาร ไม่ลงมือแก้เอง — บอกความเสี่ยง เสนอแนวทาง แต่เจ้าของการแก้คือ management การที่ CAE ลงไปแก้เอง = ทำลาย independence
  • เรื่องของกองผู้ตรวจการเอง (independence ถูกคุกคาม, ผล QAIP) — รายงาน ตรงถึง board ไม่ต้องรอ ไม่ต้องผ่าน management ก่อนเหมือนความเสี่ยงธุรกิจทั่วไป
  • การสื่อสารที่ดีคือมีส่วนร่วมและครบสองด้าน — พูดสด เปิดให้ถาม บอกทั้งจุดแข็งจุดอ่อน ไม่ใช่ส่งเอกสารทิ้งหรือเล่าแต่ข่าวดี

Formal กับ informal: สองช่องทาง คนละหน้าที่#

เริ่มจากของพื้นฐานที่ข้อสอบชอบเอาไปสลับก่อนเลย the Standards (ต่อจากนี้ขอเรียกสั้นๆ ว่า the Standards แทน IIA Global Internal Audit Standards) มองว่าการสื่อสารของกองผู้ตรวจการมีสองแบบ แล้ว CAE เป็นคนดูแลทั้งคู่

  • Formal communication เป็นทางการ มีโครงสร้าง เดินตามช่องทางที่วางไว้ และมักเป็นลายลักษณ์อักษร — audit report, memo, กฎบัตร (charter), email, audit plan, การประชุมที่เป็นทางการ
  • Informal communication ไม่เป็นทางการ ลำลองกว่า ไม่จำเป็นต้องเดินตามช่องทาง และมักเป็นการพูด — brief ปากเปล่า, วง lunch and learn, คุยกันข้างเครื่องกดน้ำ

ประเด็นที่ต้องจำคือ ทั้งสองแบบมีค่าทั้งคู่ ไม่ใช่ว่าทางการดีกว่าไม่ทางการ การพูดคุยลำลองไปเรื่อยๆ ระหว่างผู้ตรวจกับพนักงานทั่วองค์กรนี่แหละที่ช่วยสร้างความไว้ใจ มันทำให้เกิดบทสนทนาตรงไปตรงมาที่ไม่มีทางเกิดในห้องประชุมทางการ แล้วหลายครั้งบทสนทนาพวกนั้นแหละที่ทำให้ผู้ตรวจเห็นความเสี่ยงจริงในองค์กร

มุมเถ้าแก่/สภา: สภาอยากได้กองผู้ตรวจการที่เข้าถึงคนได้ทุกระดับ ไม่ใช่กองที่รู้เรื่ององค์กรจากแค่รายงานเป็นเล่มๆ ปีละครั้ง ถ้าหัวหน้ากองสนิทพอจะได้ยินเสียงบ่นจริงจากหน้างานก่อนที่มันจะบานเป็นเรื่องใหญ่ นั่นคือระบบเตือนภัยที่ช่วยให้เถ้าแก่นอนหลับ การที่ CAE ยอมเข้าประชุมสภาเอง ประชุมกับผู้บริหารเอง และแอบนัดคุยตัวต่อตัวกับกรรมการหรือผู้บริหารเป็นรายคนบ้าง ก็เพื่อสร้างความไว้ใจและเรียนรู้ว่าแต่ละคนกังวลอะไรอยู่

มุมผู้ตรวจ (คนสอบ): เวลาโจทย์ให้จับคู่ตัวอย่างกับประเภท ให้ยึดช่องทางเป็นหลัก — เขียน/มีโครง/ตามระเบียบ = formal, พูด/ลำลอง/นอกช่องทาง = informal อย่าไปตีความว่า email เป็น informal เพราะมันดูเร็วๆ email เป็น formal เพราะเป็นลายลักษณ์อักษรตามช่องทาง ส่วนการคุยข้างโต๊ะถึงจะเกิดในที่ประชุมก็ยังเป็น informal อยู่ดี แล้วก็ระวังตัวเลือกที่ยกแบบใดแบบหนึ่งว่า “ดีกว่า/สำคัญกว่า” ไว้ด้วย the Standards มองว่าทั้งคู่จำเป็น

เรื่องอะไรบ้างที่ต้องขึ้นโต๊ะ: หกสายหลัก#

พอรู้ว่าสื่อสารได้สองช่องทางแล้ว คำถามต่อมาคือ เรื่องอะไรบ้างที่ CAE ต้องสื่อสารกับ senior management และ board โดย outline ไล่ไว้เป็นสายๆ ซึ่งเบื้องหลังทั้งหมดมี Standard 8.1 Board Interaction ยืนอยู่ CAE ต้องป้อนข้อมูลที่ board ต้องใช้ทำหน้าที่กำกับดูแล (จำแค่เจตนาว่า “ป้อนข้อมูลให้ board ทำงานกำกับได้” ก็พอ ไม่ต้องท่องเลข)

  • Audit plan — CAE ต้องหารือแผนตรวจกับ board และ senior management การนำเสนอแผนเป็นกิจกรรมด้านการกำกับดูแล (governance) ตามธรรมเนียมคือ CAE เตรียมแผน ส่งเวียนให้ผู้เกี่ยวข้องออกความเห็น แล้วเสนอ board อนุมัติ เมื่อ board โหวตรับ ก็บันทึกลงในรายงานการประชุม (meeting minutes) เป็นหลักฐานว่า board รับรู้และกำกับทิศทางของกอง
  • ประเด็น independence — เรื่องความเป็นอิสระสื่อสารตรงถึง board
  • ความเสี่ยงและ control ที่ไม่ได้ผล — รายงานภาพรวมประสิทธิผลของกระบวนการบริหารความเสี่ยงและการควบคุมอย่างทันเวลา รวมถึงระดับความเสี่ยงที่ยอมรับไม่ได้ (unacceptable levels of risk)
  • ผลของ engagement — สื่อสารก่อน ระหว่าง และหลังภารกิจ โดยระดับผู้บริหารได้ข้อมูลภาพรวมของเรื่องที่มีนัยสำคัญต่อองค์กร ส่วน operating management ได้รายละเอียดการปฏิบัติงาน
  • ผล quality assessment — ผลการประเมินคุณภาพจากภายนอก (external quality assessment) ส่งตรงจากผู้ประเมินถึง board และ CAE หารือผลกับ board พร้อมแผนแก้ไข
  • การเปลี่ยนแปลงที่กระทบ mandate หรือ charter — เช่น the Standards เปลี่ยน, profile ความเสี่ยงขององค์กรเปลี่ยน, ข้อกำหนดใหม่ด้านคุณภาพ, หรือองค์กร/กองปรับทิศทางเชิงกลยุทธ์

จุดที่อยากปักหมุดคือเรื่อง themes — เวลาผลจากหลายภารกิจมารวมกันแล้วเห็นรูปแบบซ้ำๆ เช่น การควบคุมพังเพราะโครงสร้างความรับผิดชอบไม่ชัดหลายที่ หรือความล่าช้าในการแก้ไขที่เกิดซ้ำแล้วซ้ำอีก ธีมพวกนี้มีน้ำหนักกว่าข้อค้นพบเดี่ยวๆ เพราะมันชี้จุดอ่อนเชิงระบบ CAE เลยต้องสื่อสารธีมพวกนี้อย่างทันเวลาไปยัง board และ senior management พร้อม insight และ conclusion (ข้อสรุปของภารกิจ — GIAS ใช้คำนี้ ไม่ใช่ opinion)

มุมเถ้าแก่/สภา: สภาไม่ได้อยากฟังรายงานทุกภารกิจแบบเม็ดต่อเม็ด สิ่งที่สภาอยากได้คือ ภาพใหญ่ — ความเสี่ยงตรงไหนที่ยังไม่ถูกจัดการ แผนตรวจปีหน้าจะไล่ล่าอะไร มีอะไรที่กำลังกัดกร่อนความน่าเชื่อถือของกองผู้ตรวจการเองไหม การที่ CAE เอา “ธีม” ที่เห็นซ้ำข้ามหลายภารกิจมาเล่า มีค่ากับเถ้าแก่มากกว่ารายงานเดี่ยวๆ สิบฉบับ เพราะมันบอกว่าองค์กรมีโรคประจำตัวอะไรที่ต้องรักษาที่ต้นเหตุ

มุมผู้ตรวจ (คนสอบ): จำหกสายนี้ให้เป็นเช็กลิสต์ — plan / independence / risk-control / engagement / quality / mandate-charter เวลาโจทย์ถามว่า CAE “ควรสื่อสารเรื่องใดกับ board” ตัวเลือกที่ตกอยู่ในหกสายนี้มักถูก ส่วนตัวลวงมักเป็นเรื่องที่ควรอยู่ระดับปฏิบัติการแล้วถูกดันขึ้น board โดยไม่จำเป็น หรือเรื่องที่ CAE ไม่ควรทำเลย เช่น การลงไปแก้ปัญหาเอง

ความเสี่ยงเกินเพดาน: คุย management ก่อน board ทีหลัง#

ทีนี้มาถึงหมวดที่ออกบ่อยและดักคนพลาดเยอะที่สุด — พอ CAE สรุปว่า management ยอมรับความเสี่ยงในระดับที่เกิน risk appetite หรือ risk tolerance ขององค์กร จะสื่อสารเรื่องนี้ยังไง เบื้องหลังคือ Standard 11.5 Communicating the Acceptance of Risks

ลำดับสั้นๆ คือ คุยกับ senior management ก่อน เสมอ แล้ว escalate ถึง board เฉพาะเมื่อ senior management ไม่แก้ไข ห้ามสลับ ห้ามข้าม — ตัวเลือกที่วิ่งขึ้น board ทันที ไปหา external auditor หรือเลือกไม่ทำอะไร ผิดหมด แต่กลไกของ ladder นี้ (ทำไมต้องคุย management ก่อน จบลงตรงไหน ถ้า board ก็ยังรับเองล่ะ) มีตอนของมันเอง — /posts/cia-p3-48-risk-acceptance-series-close/ จะลงลึก ตรงนี้ขอโฟกัสแค่ มุมโปรโตคอลการสื่อสาร ที่เป็นของตอนนี้

มุมเถ้าแก่/สภา: ถ้าหัวหน้ากองผู้ตรวจการเจอเรื่องเสี่ยงแล้ววิ่งขึ้นไปฟ้องสภาทันทีทุกครั้งโดยไม่บอกผู้บริหารก่อน สองอย่างจะพัง — หนึ่ง ความสัมพันธ์ในการทำงานกับผู้บริหารพังเพราะเหมือนถูกลอบกัด สอง สภาถูกดึงมายุ่งกับเรื่องที่ผู้บริหารน่าจะจัดการเองได้ ระบบที่ถูกต้องคือให้ผู้บริหารมีโอกาสแก้ก่อน แล้วสภาค่อยเข้ามาเมื่อผู้บริหารปล่อยผ่าน นั่นคือการกำกับดูแลที่เป็นชั้นๆ ไม่ใช่ทุกเรื่องเด้งขึ้นหัวโต๊ะ

มุมผู้ตรวจ (คนสอบ): โจทย์หมวดนี้มักเปิดด้วยฉาก “management ยอมรับความเสี่ยงเกิน tolerance/appetite แล้วผู้ตรวจ (หรือ CAE) ควรสื่อสารยังไงต่อ” คำตอบที่ถูกคือตัวที่ระบุ management ก่อน แล้วถ้ามีให้เลือก ก็ตามด้วย board เป็น fallback เจอความเสี่ยง cyber หรือ compliance ที่ยังไม่ถูกจัดการ ก็ตรรกะเดียวกันเป๊ะ

⚠️ กับดัก: ตัวลวงคลาสสิคคือ “escalate ตรงขึ้น board ทันทีโดยไม่คุยกับ management ก่อน” ผิดเพราะข้ามลำดับ แล้วข้อสอบก็ชอบพลิกมุมเป็นฝั่งผู้ตรวจว่า “แนะนำให้ CAE รายงานตรงถึง board โดยไม่ต้องหารือผู้บริหารก่อน” กับดักเดียวกันเป๊ะ แค่คนละถ้อยคำ อีกกลุ่มตัวลวงคือ “รายงานเรื่องไปที่ external auditor” หรือ “เพิกเฉย/รอรอบตรวจครั้งหน้า” เขี่ยทิ้งได้หมด คำตอบเดียวที่ถูกคือตัวที่เอ่ยชื่อ management ก่อน

CAE สื่อสาร ไม่ลงมือแก้: เส้นแบ่งที่ห้ามข้าม#

ตรงนี้เป็นกฎเหล็กที่ผูกกับ Standard 11.5 ท่อนสุดท้ายอย่างเงียบๆ แต่ออกสอบดุมาก — ประโยคที่ว่า “ไม่ใช่หน้าที่ของ CAE ที่จะแก้ความเสี่ยง” หน้าที่ของ CAE คือสื่อสารความเสี่ยงและเสนอแนวทางแก้ ส่วนเจ้าของการแก้ตัวจริงคือ management

เหตุผลไม่ใช่แค่เรื่องแบ่งงานกันนะ แต่เป็นเรื่องความเป็นอิสระ (independence) โดยตรง ถ้า CAE ลงไปแก้ปัญหาเอง ไปปรับกระบวนการจัดซื้อเอง ไปออกแบบ control ใหม่เอง พอถึงรอบหน้าที่กองต้องตรวจกระบวนการนั้น มันก็กลายเป็นการตรวจงานที่ตัวเองทำ ความเที่ยงธรรม (objectivity) หายวับเลย นี่คือคู่แฝดของกฎ “คุย management ก่อน” เรื่องเดียวกันแต่มองคนละมุม ไม่ใช่แค่ CAE ไม่รีบวิ่งไป board อย่างเดียว แต่ CAE ก็ไม่ลงไปแก้ความเสี่ยงนั้นด้วยตัวเองเหมือนกัน

มุมเถ้าแก่/สภา: ลองคิดดูนะครับ เหมือนเถ้าแก่จ้างคนมาตรวจครัว แล้วคนตรวจดันลงไปทำอาหารเองแก้สูตรเอง คราวหน้าใครจะเป็นคนบอกเถ้าแก่ว่าครัวมีปัญหา ก็คนคนเดิมที่ตอนนี้กลายเป็นคนทำครัวไปแล้วไง เขาจะตรวจงานตัวเองยังไงให้ตรงไปตรงมา สภาก็เลยอยากได้ CAE ที่ทำหน้าที่เป็นกระจกส่องให้เห็นปัญหาและเสนอทางแก้ ไม่ใช่ลงไปเป็นมือแก้เสียเอง เพราะวันที่ CAE กลายเป็นมือแก้ กระจกบานนั้นก็ร้าว

มุมผู้ตรวจ (คนสอบ): เวลาไล่ตัวเลือก ให้แยกตามเจ้าของงาน — บทบาท CAE = สื่อสาร + แนะนำ + ร่วมมือ (collaborate) กับผู้บริหารในการวางแผนแก้ไข ส่วนบทบาท management = เป็นเจ้าของ แก้ ลงมือทำ ตัวเลือกไหนที่จับ CAE ไปนั่งเก้าอี้ management ไม่ว่าจะลงมือทำเอง แก้เอง หรือสั่งหยุดงานตรวจ ผิดหมดเพราะทำลาย independence คำตอบที่ถูกมักอ่านว่า “สื่อสาร/เสนอแนวทางแก้” หรือ “ร่วมมือกับ senior management วางแผนปฏิบัติการ”

⚠️ กับดัก: ตัวลวงชุดนี้ฟังดูขยันและรับผิดชอบ เลยหลอกคนได้เยอะ — “ลงมือปรับกระบวนการจัดซื้อโดยตรง” (พัง independence) “บันทึกประเด็นแล้วแก้ความเสี่ยงเลย” (การแก้ความเสี่ยงไม่ใช่หน้าที่ CAE) “แนะนำให้เปลี่ยน risk management framework ทันที” แบบฝ่ายเดียว (ไม่ประสานงาน ควรร่วมมือกับผู้บริหารวาง action plan แทน) และ “สั่งหยุด/พักงานตรวจทั้งหมดชั่วคราว” (ตอบสนองแบบ reactive ไม่ใช่ทางแก้จริง) รวมถึง “บันทึกไว้ใน workpapers แล้วไม่ทำอะไรต่อ” (ต้องสื่อสารก่อน แล้ว escalate ถ้ายังไม่ถูกแก้) — ทั้งหมดผิด

เมื่อปัญหาคือกองผู้ตรวจการเอง: รายงานตรงถึง board#

หมวดสุดท้ายเป็นตัวแยกที่ละเอียดแต่คมมาก — ต้องดูก่อนว่าประเด็นนั้นมันเป็นเรื่องของใคร ถ้าเป็นความเสี่ยงทางธุรกิจ/ปฏิบัติการทั่วไป ก็เดินตามลำดับเมื่อกี้ (management ก่อน) แต่ถ้าประเด็นนั้นคือตัวกองผู้ตรวจการเอง — ความเป็นอิสระของกองถูกคุกคาม หรือผลของ QAIP (quality assurance and improvement program — โครงการประกันและพัฒนาคุณภาพของกอง) ออกมาไม่ดี — อันนี้ CAE สื่อสารตรงถึง board ผ่านสายรายงานตรงเลย ไม่ต้องรอ

นี่แหละคือเหตุผลที่ the Standards วางให้ CAE มีสายรายงานตรงและไม่ถูกจำกัดถึง board (report ทางบริหารกับ senior management แต่รายงานเชิงหน้าที่กับ board) เพราะวันที่ management เองแหละคือต้นตอของภัยคุกคามต่อความเป็นอิสระ CAE จะวิ่งไปหา management ก่อนไม่ได้ ต้องมีทางตรงถึงสภา แล้ว the Standards ยังกำหนดให้ CAE ยืนยันความเป็นอิสระของกองต่อ board อย่างน้อยปีละครั้ง พร้อมสื่อสารเหตุการณ์ที่ความเป็นอิสระอาจถูกกระทบ ข้อจำกัดด้านทรัพยากรและงบ ข้อจำกัดด้านขอบเขต แล้วก็บทบาทใดๆ ที่อาจกระทบความเป็นอิสระทั้งในข้อเท็จจริงหรือในภาพลักษณ์

มุมเถ้าแก่/สภา: ลองคิดดูนะครับ ถ้ามีนโยบายใหม่ในองค์กรที่ทำให้กองผู้ตรวจการต้องไปขึ้นกับฝ่ายที่ตัวเองต้องตรวจ นั่นคือภัยต่อความเป็นอิสระโดยตรง ถ้า CAE เก็บเงียบแล้วค่อยๆ ปรับวิธีทำงานเอาเอง สภาจะไม่มีวันรู้เลยว่ากระจกบานที่ตัวเองพึ่งพากำลังถูกบิด เรื่องแบบนี้ต้องถึงหูสภาทันที เพราะสภาคือคนเดียวที่มีอำนาจปกป้องความเป็นอิสระของกองจากแรงกดดันของฝ่ายบริหาร นี่แหละหน้าที่สำคัญที่สุดของ audit committee — กันผู้ตรวจให้พ้นจากอิทธิพลของ management

มุมผู้ตรวจ (คนสอบ): ตัวตัดสินคือ subject ของปัญหาคืออะไร ถ้าปัญหาคือตัวกองผู้ตรวจการ (independence, ผล QAIP/คุณภาพ) → CAE สื่อสารตรงถึง board (พร้อม senior management) ผ่านสายรายงานตรง แต่ถ้าปัญหาคือความเสี่ยงธุรกิจ/ปฏิบัติการ → เดินผ่าน management ก่อน สองเส้นนี้อย่าสับกันเด็ดขาด

⚠️ กับดัก: เมื่อนโยบายใหม่คุกคาม independence ตัวลวงจะชวนให้ “ปรับวิธีตรวจให้เข้ากับนโยบาย” หรือ “ทำ internal assessment ก่อน” (เป็นเรื่องรอง ไม่ได้จัดการภัยต่อ independence กับ board) “คุยเหตุผลของนโยบายกับ management” (เข้าใจที่มาก็ดี แต่ไม่ได้ปกป้องความเป็นอิสระ) “บอกแค่ทีมงานตรวจที่เกี่ยวข้อง” (ล้มเหลวในหน้าที่แจ้งฝ่ายกำกับ) “รอ external quality assessment รอบหน้า” (ถ่วงการแก้ที่จำเป็น) หรือ “รายงาน regulator ภายนอกก่อน” (ไม่ใช่ก้าวแรกของเรื่องกำกับดูแลภายใน) — คำตอบที่ถูกคือ แจ้ง board ถึงภัยคุกคามและเสนอให้มีการทบทวน เช่นเดียวกัน ถ้าผลประเมินคุณภาพพบจุดอ่อนในการปฏิบัติตาม the Standards คำตอบคือสื่อสารผล ผลกระทบ และแนวทางแก้ไขที่แนะนำต่อ senior management และ board

สื่อสารให้ครบสองด้าน มีส่วนร่วม ไม่ใช่ส่งเอกสารทิ้ง#

เรื่องสุดท้ายเป็นเรื่องวิธีสื่อสาร ไม่ใช่เรื่องอะไร — พอเลือกได้แล้วว่าจะพูดอะไร ก็ต้องพูดให้เป็นด้วย the Standards ให้น้ำหนักการสื่อสารที่มีส่วนร่วมและสมดุล การนำเสนอสดต่อ board ที่เปิดให้ถาม-ตอบ ชนะการส่ง email แนบรายงานทิ้งไว้ หรือแจกเอกสารเป็นปึกให้ไปอ่านกันเอง เพราะการโยนเอกสารทิ้งมันเป็นการสื่อสารแบบ passive ไม่มีการมีส่วนร่วม ไม่มีโอกาสให้ board ซักถามจนเข้าใจ

ด้านเนื้อหาก็ต้องครบสองด้าน — บอกทั้งจุดแข็งและจุดที่ต้องปรับปรุง แล้วระบุเจาะจงด้วยว่าความเสี่ยงระดับที่ยอมรับไม่ได้มันอยู่ตรงไหน การเล่าแต่ข่าวดีมันสร้างความมั่นใจปลอมๆ (false sense of security) ส่วนการให้คำรับรองกว้างๆ ว่า “ทุกอย่างเรียบร้อย” โดยไม่มีตัวอย่างเจาะจง ก็ตื้นเกินกว่าที่ board จะเอาไปใช้ตัดสินใจได้

มุมเถ้าแก่/สภา: ลองคิดดูนะครับ ภาพแรกหัวหน้ากองผู้ตรวจการส่ง email แนบรายงานหนาปึกมาให้สภา แล้วบอกว่า “อ่านเอานะครับ มีคำถามค่อยถาม” กับอีกภาพที่หัวหน้ากองยืนขึ้นสรุปสิบนาที บอกชัดว่าปีนี้กองแข็งตรงไหน อ่อนตรงไหน ความเสี่ยงที่ยอมรับไม่ได้มีสามเรื่องคืออะไรบ้าง แล้วเปิดให้สภาซัก — สภาได้อะไรจากภาพหลังมากกว่ากันเยอะ เพราะได้ซักจนเข้าใจ ได้เห็นทั้งด้านดีด้านร้าย แล้วก็รู้สึกว่ากองผู้ตรวจการคุยด้วยได้ ไม่ใช่โยนเอกสารมาให้เดากันเอง

มุมผู้ตรวจ (คนสอบ): เวลาโจทย์ถามว่า “วิธีใดดีที่สุดในการสื่อสารกับ board” ให้ลองไล่ให้คะแนนตัวเลือกสองแกน — การมีส่วนร่วม (นำเสนอสด/โต้ตอบได้ ชนะ email/เอกสาร ชนะการมอบหมายให้คนอื่นไปพูดแทน) และ เนื้อหา (สมดุลจุดแข็ง-จุดอ่อน และเจาะจงระบุความเสี่ยงที่ยอมรับไม่ได้ ชนะการเล่าแต่ข่าวดีหรือคำรับรองกว้างๆ) ส่วนโจทย์ที่พลิกเป็นเรื่องจังหวะ/ผู้ฟัง ให้ยึด “ทันเวลา + ระดับที่ถูกต้อง” (senior management/board) ชนะ “รอประชุมรอบหน้า” “เก็บเข้าแฟ้ม” หรือ “email หาพนักงานทั้งบริษัท”

⚠️ กับดัก: ตัวลวงหมวดนี้เป็นแบบ passive กับแบบด้านเดียว — “ส่ง email ละเอียดแนบรายงาน” หรือ “แจกเอกสารเป็นชุด” (ไม่มีการมีส่วนร่วมหรือชี้แจง) “เน้นแต่ผลลัพธ์ด้านบวก” (สร้างความมั่นใจปลอม ไม่สมดุล) “ให้คำรับรองกว้างๆ โดยไม่มีตัวอย่างเจาะจง” (ตื้นเกินไป) และตัวลวงเรื่องจังหวะ/ผู้ฟังอย่าง “รอประชุมตามกำหนดรอบหน้า” “เก็บเข้าแฟ้มโดยไม่แจ้งใคร” หรือ “email หาพนักงานทุกคน” (ผิดเวลาหรือผิดกลุ่มผู้ฟัง) รวมถึง “มอบหมายให้ผู้ตรวจอาวุโสไปพูดแทน” — CAE ควรเป็นคนนำการหารือเชิงกลยุทธ์เอง

ตารางกับดักรวม#

สถานการณ์คำตอบหลอกคำตอบจริง
email / audit report จัดเป็นการสื่อสารแบบไหนinformal (เพราะดูเร็ว)formal (เป็นลายลักษณ์อักษรตามช่องทาง)
formal กับ informal อันไหนสำคัญกว่าformal สำคัญกว่าทั้งคู่จำเป็น คนละหน้าที่
management ยอมรับความเสี่ยงเกิน tolerance ทำอะไรต่อescalate ตรงขึ้น board ทันทีคุยกับ senior management ก่อน
ความเสี่ยง cyber/compliance ที่ยังไม่ถูกจัดการรายงาน external auditor / รอรอบหน้าสื่อสารถึง senior management แล้ว escalate ถ้าไม่ถูกแก้
”แนะนำให้ CAE รายงานตรง board โดยไม่คุย management”ฟังดูเด็ดขาดดีผิด — ต้องคุย senior management ก่อน
บทบาทของ CAE ต่อความเสี่ยงที่พบลงมือแก้/resolve/implement เองสื่อสาร + เสนอแนวทาง + ร่วมมือ (management เป็นเจ้าของการแก้)
operational risk พุ่งจากกฎใหม่ ทำอะไรต่อเปลี่ยน risk framework ฝ่ายเดียวร่วมมือกับ senior management วาง action plan
นโยบายใหม่คุกคาม independence ของกองปรับวิธีตรวจ / internal assessment ก่อนแจ้ง board ถึงภัยคุกคามและเสนอให้ทบทวน
ผล quality assessment พบจุดอ่อนตาม the Standardsบอกแค่ทีมตรวจ / รอรอบประเมินหน้าสื่อสารผล+ผลกระทบ+แนวทางแก้ต่อ senior management และ board
วิธีดีที่สุดให้ board เข้าใจผลตรวจส่ง email แนบรายงาน / แจกเอกสารนำเสนอสรุปสดในที่ประชุม (โต้ตอบได้)
เนื้อหาที่ควรเน้นเรื่องประสิทธิผลความเสี่ยงเน้นแต่ผลบวก / คำรับรองกว้างๆสมดุลจุดแข็ง-จุดอ่อน ระบุความเสี่ยงที่ยอมรับไม่ได้เจาะจง
กฎใหม่กระทบความเสี่ยง ควรทำอะไรรอประชุมรอบหน้า / email พนักงานทุกคนแจ้ง management และ board ทันทีพร้อมเสนอแนวทางปฏิบัติ
ใครควรนำการหารือเชิงกลยุทธ์กับ boardมอบหมายผู้ตรวจอาวุโสไปแทนCAE นำเอง

สิ่งที่จดสำหรับวันสอบ#

  • Formal = เขียน/มีโครง/ตามช่องทาง (report, memo, charter, email, plan, ประชุมทางการ) · Informal = พูด/ลำลอง/นอกช่องทาง (brief ปากเปล่า, lunch and learn, คุยข้างโต๊ะ) — ทั้งคู่จำเป็น อย่ายกอันใดว่าดีกว่า และ email = formal เสมอ
  • หกสายที่ CAE ต้องสื่อสาร: audit plan · independence · risk-control effectiveness · engagement · quality assessment · การเปลี่ยนแปลงที่กระทบ mandate/charter
  • ธีมข้ามหลายภารกิจ มีน้ำหนักกว่าข้อค้นพบเดี่ยว ต้องสื่อสารทันเวลาถึง board + senior management พร้อม insight/conclusion
  • ความเสี่ยงเกิน appetite/tolerance: คุย senior management ก่อน → escalate ถึง board เฉพาะเมื่อไม่ถูกแก้ ห้ามข้ามไป board ทันที ห้ามวิ่งไป external auditor ห้ามเพิกเฉย
  • CAE สื่อสารและเสนอแนวทาง ไม่ resolve/implement/halt เอง — การลงมือแก้ = ทำลาย independence เจ้าของการแก้คือ management
  • เรื่องของกองผู้ตรวจการเอง (independence ถูกคุกคาม, ผล QAIP) = รายงานตรงถึง board ไม่ผ่าน management ก่อน · ยืนยัน independence ต่อ board อย่างน้อยปีละครั้ง
  • วิธีสื่อสารที่ชนะ = มีส่วนร่วม (นำเสนอสด โต้ตอบได้) + สมดุล (จุดแข็ง+จุดอ่อน เจาะจงความเสี่ยงที่ยอมรับไม่ได้) ไม่ใช่ส่งเอกสารทิ้งหรือเล่าแต่ข่าวดี · จังหวะ/ผู้ฟัง = ทันเวลา + ระดับที่ถูก (management/board) ไม่ใช่รอรอบหน้าหรือ email ทั้งบริษัท

รู้แล้วว่าจะพูดอะไรกับสภา คำถามถัดไปคือ แผนตรวจ ที่เอาไปรายงานนั้นมันสร้างมาจากอะไร — ตอนหน้าเราลงเรื่องการวางแผนตรวจทั้งอาณาจักรแบบ risk-based ตั้งแต่สร้าง audit universe ประเมินความเสี่ยง จนจัดลำดับว่าจะตรวจอะไรก่อน ตอนถัดไป: แผนตรวจแบบ risk-based

อ้างอิง: Gleim CIA Review (2026), Part 3 · IIA Global Internal Audit Standards (2024)