สารบัญ
ลองนึกภาพเถ้าแก่มีอาณาจักรที่มีร้อยกระบวนการเดินอยู่พร้อมกัน — คลังสินค้า สายผลิต บัญชีเงินเดือน จัดซื้อ สาขาต่างจังหวัด ระบบขายออนไลน์ที่เพิ่งเปิด ทุกจุดล้วนมีโอกาสรั่วได้ทั้งนั้น แต่กองผู้ตรวจการทั้งกองมีมือมีเวลาทำได้แค่ปีละไม่กี่เรื่อง
คำถามที่หัวหน้ากองต้องตอบให้ได้ก่อนเดินเข้าห้องประชุมสภาก็คือ ปีนี้จะตรวจอะไรก่อน แล้วจะอธิบายยังไงให้สภาเถียงไม่ออกว่าทำไมเลือกเรื่องนี้ ไม่เลือกเรื่องนั้น
เอาตรงๆ ถ้าตอบด้วยความรู้สึก หรือด้วย “ปีที่แล้วยังไม่ได้ตรวจอันนี้เลย” มันก็กลายเป็นแผนที่ไม่มีเหตุผลรองรับ แล้วพอความเสี่ยงจริงไประเบิดตรงจุดที่ไม่ได้เลือกตรวจ คนที่ต้องรับผิดชอบก็คือหัวหน้ากองนั่นแหละครับ
ตอนที่แล้ว (ตอนที่ 40) เราคุยเรื่อง CAE สื่อสารกับสภา ว่าต้องแยก formal กับ informal เลือกเรื่องสำคัญขึ้นโต๊ะ ยืนยัน independence ตรงถึง board และความเสี่ยงธุรกิจต้อง discuss กับ management ก่อนแล้วค่อย escalate หนึ่งในเรื่องที่ต้องรายงานคือ audit plan ตอนนี้เลยถึงคิวเจาะว่าแผนตรวจทั้งอาณาจักรนั้นสร้างมาจากอะไร
โครงของบท
- สร้าง audit universe — รวบทุกหน่วยที่ตรวจได้ทั้งอาณาจักรเป็นกระดานเดียว แล้วผูกความเสี่ยงเข้ากับแต่ละช่อง
- นิยาม risk ให้แม่น — ความเสี่ยงคือผลของความไม่แน่นอนต่อ objective วัดด้วย impact x likelihood ไม่ใช่แค่มูลค่าเงินหรือโอกาสอย่างเดียว
- จัดลำดับตามความเสี่ยง ไม่ใช่ความสะดวก — ทักษะทีม เวลาที่ผ่านมา คำขอ งบ ความสัมพันธ์ ไม่ใช่ตัวขับลำดับ
- แผนต้อง dynamic — มีการเปลี่ยนแปลงใหม่เมื่อไร ประเมินความเสี่ยงใหม่ก่อนเสมอ ห้ามรอ ห้ามมองแคบแค่เงิน
- CAE ทำแผน สภา+ผู้บริหารอนุมัติร่วมกัน — และจัดคนให้ทักษะตรงงานเสี่ยงสูง สื่อสารความเสี่ยงที่คุมไม่ได้เมื่อทรัพยากรไม่พอ
audit universe: กางกระดานทั้งอาณาจักรก่อนเลือกตรวจ
เริ่มจากภาพใหญ่ก่อน ก่อนจะเลือกว่าตรวจอะไร ต้องรู้ก่อนว่า “ทั้งหมดที่ตรวจได้” มีอะไรบ้าง the Standards เสนอวิธีหนึ่งไว้ — เอาหน่วยที่ตรวจได้ทั้งองค์กรมากางเป็นกระดานเดียว เรียกว่า audit universe (จักรวาลของสิ่งที่ตรวจได้) บนกระดานนี้อะไรก็ตามที่นิยามและประเมินได้ นับเข้าหมด ไม่ว่าจะเป็นบัญชี แผนก หน้าที่งาน กระบวนการ ผลิตภัณฑ์ บริการ โครงการ ระบบ หรือตัวควบคุมต่างๆ
แล้วกระดานนี้ยังสะท้อนได้อีกหลายชั้น ตั้งแต่แผนกลยุทธ์ขององค์กร ท่าทีต่อความเสี่ยง ความยากในการบรรลุเป้าหมาย ผลของการบริหารความเสี่ยง ไปจนถึงสภาพแวดล้อมการทำงาน
พอมี audit universe แล้ว งานถัดไปคือผูก ความเสี่ยงที่ประเมินได้ เข้ากับแต่ละช่องบนกระดาน ช่องไหนเสี่ยงสูงก็ขึ้นมาอยู่ต้นคิว ช่องไหนเสี่ยงต่ำก็ลงไปรอ นี่แหละที่ทำให้แผนมันเป็น risk-based จริงๆ ไม่ใช่แค่ไล่ตรวจไปเรื่อยตามอารมณ์
จุดที่ข้อสอบชอบจับมาแยกให้งงคือ audit universe กับ audit plan มันคนละตัวกัน — universe คือกระดานของ “ทุกอย่างที่ตรวจได้” ส่วน plan คือ “รายการที่เลือกจะตรวจจริงในรอบนี้” เป็นเซตย่อยที่คัดออกมาจาก universe ด้วยความเสี่ยงอีกที และทั้งสองตัวต้องทบทวนอย่างน้อยปีละครั้ง ให้สะท้อนกลยุทธ์และทิศทางล่าสุดขององค์กร
มุมเถ้าแก่/สภา: อุปมาเหมือนเถ้าแก่มีบัญชีทรัพย์สินทั้งอาณาจักรกางอยู่บนโต๊ะ ห้องนี้ ตู้เซฟนั้น โกดังโน้น สาขาไกลๆ อีกสิบแห่ง กระดานนั้นคือ universe ส่วนแผนตรวจปีนี้คือการวงกลมว่า “ปีนี้เราจะไปเปิดตรวจตู้ไหนบ้าง” เถ้าแก่อยากเห็นว่าคนที่วงกลมมีเหตุผล ไม่ใช่วงมั่ว เพราะทุกตู้ที่ไม่ได้เปิดคือความเสี่ยงที่เถ้าแก่ต้องยอมแบกไว้อย่างรู้ตัว
มุมผู้ตรวจ (คนสอบ): เจอโจทย์ให้แยก universe กับ plan ให้จำว่า universe = ทั้งหมดที่ตรวจได้ (กว้าง), plan = ที่เลือกตรวจจริงในรอบ (แคบ คัดด้วยความเสี่ยง) และจำ “ปีละครั้งเป็นอย่างน้อย” ทั้งคู่ ข้อสอบเคยเอาเรื่องความต่างของสองตัวนี้และความถี่ในการทบทวนมาออกซ้ำๆ
risk คืออะไร: ผลของความไม่แน่นอน วัดด้วย impact x likelihood
พอพูดเรื่อง risk-based ก็ต้องปักหลักนิยามให้แน่นก่อน ไม่งั้นจัดลำดับผิดตั้งแต่ต้น the Standards นิยาม risk (ความเสี่ยง) ว่าคือ ผลกระทบเชิงบวกหรือลบของความไม่แน่นอนที่มีต่อ objective สังเกตสองคำสำคัญนะครับ
คำแรกคือ “บวกหรือลบ” ความเสี่ยงไม่ได้แปลว่าเรื่องร้ายเสมอ โอกาสที่พลาดไปก็เป็นความเสี่ยงชนิดหนึ่ง อีกคำคือ “ความไม่แน่นอน” อะไรที่แน่ว่าจะเกิดร้อยเปอร์เซ็นต์นี่ไม่ใช่ความเสี่ยง มันคือความแน่นอน
ส่วนจะวัดว่าความเสี่ยงตัวไหนสำคัญ the Standards บอกให้ดูสองแกนคู่กัน — impact (ผลกระทบ ถ้าเกิดแล้วเจ็บแค่ไหน) กับ likelihood (โอกาสเกิด มีสิทธิ์เกิดมากน้อยแค่ไหน) ต้องมีทั้งคู่ ขาดแกนใดแกนหนึ่งไปวัดไม่ครบ ของที่เจ็บหนักมากแต่แทบไม่มีทางเกิด กับของที่เกิดบ่อยแต่เจ็บนิดเดียว สองอันนี้ไม่ใช่ตัวที่เสี่ยงสูงสุด ตัวที่ทั้งเจ็บหนักและเกิดง่ายต่างหากที่ต้องขึ้นต้นคิว
ต่อยอดอีกนิดเรื่อง inherent risk (ความเสี่ยงตามธรรมชาติ) — คู่นี้เปิดตัวไปแล้วตอน /posts/cia-p1-07-risk-language-coso-erm-iso31000/ ตรงเรื่องภาษา risk แต่ในบริบทการวางแผนตรวจมันกลับมามีบทบาทใหม่ inherent risk คือความเสี่ยงในสภาพดิบที่ยังไม่มีตัวควบคุมอะไรมาคุมเลย outline ยกตัวอย่างคลาสสิคไว้ว่าเงินสด กับของที่แปลงเป็นเงินสดได้ง่ายๆ อย่างโลหะมีค่า พวกนี้ inherent risk สูง เพราะมูลค่าก็สูง แถมเอาไปเปลี่ยนเป็นเงินได้ทันที
ทีนี้พอเอา inherent risk มาลบด้วยตัวควบคุมที่ใส่เข้าไป สิ่งที่เหลือเรียกว่า residual risk (ความเสี่ยงคงเหลือ) และนี่แหละคือเหตุผลว่าทำไม ช่องว่างระหว่าง inherent กับ residual ที่กว้างมากๆ ถึงเป็นสัญญาณให้ผู้ตรวจต้องหันมาสนใจ เพราะมันแปลว่าองค์กรพึ่งพาตัวควบคุมชุดนั้นหนักมาก วันไหนตัวควบคุมพัง ความเสี่ยงเด้งกลับขึ้นไปสูงลิ่วทันที
มุมเถ้าแก่/สภา: ลองคิดดูนะครับ ถ้าเถ้าแก่ต้องเลือกว่าตู้เซฟไหนน่าห่วงสุด ตู้ที่มีทองคำมูลค่าสูง หยิบออกไปขายได้ทันที และใครก็เดินเข้าไปหยิบได้ไม่มีอะไรกั้น ตู้นั้นแหละเสี่ยงสูงสุด เพราะมูลค่าสูง คูณกับความง่ายในการแปลงเป็นเงิน คูณกับการเข้าถึงที่ไม่ถูกจำกัด กลับกัน ตู้ที่มีของมูลค่าพอกันแต่ล็อกสามชั้น มีกล้องจับ มีคนเฝ้า ความเสี่ยงสุทธิต่ำลงเยอะ เพราะตัวควบคุมกดมันลงมา เถ้าแก่จึงไม่ได้กลัวแค่ “ของแพง” แต่กลัว “ของแพงที่คุมหลวม”
มุมผู้ตรวจ (คนสอบ): โจทย์ประเภทถามนิยาม ถ้าเห็นคำว่า ผลของความไม่แน่นอนต่อ objective หรือ impact และ likelihood นั่นคือคำตอบ ส่วนโจทย์ประเภทให้เลือก “ของชิ้นไหนเสี่ยง/มีน้ำหนักสูงสุด” ให้ประกอบสามอย่าง — มูลค่าสูง + แปลงเป็นเงินสดง่าย + เข้าถึงไม่ถูกจำกัด ตัวที่ได้ครบสามคือคำตอบ
⚠️ กับดัก: นิยามหลอกชุดคลาสสิคของหมวดนี้คือ “ความเสี่ยงคือผลของเหตุการณ์ที่แน่นอนว่าจะเกิด” (ผิด ต้องมีความไม่แน่นอน) “ความเสี่ยงมีแต่ด้านลบ” (ผิด บวกก็ได้) และ “วัดด้วย likelihood อย่างเดียว” หรือ “impact อย่างเดียว” (ผิด ต้องมีทั้งคู่) อีกตัวที่ล่อบ่อยคือลาก detection risk หรือ material misstatement เข้ามา — พวกนั้นคือ audit risk เรื่องความเสี่ยงของการตรวจ ไม่ใช่ความเสี่ยงระดับองค์กรที่เรากำลังจัดลำดับ
⚠️ กับดัก: เรื่อง “ของชิ้นไหนน้ำหนักสูงสุด” ตัวลวงจะโยนของมูลค่าสูงแต่มีตัวควบคุมแน่นหนา หรือเข้าถึงถูกจำกัด หรือความเสียหายกระจายไปหลายคน มาให้ พวกนี้ถูกกดความเสี่ยงสุทธิลงแล้ว ไม่ใช่คำตอบ และระวังตัวลวงที่บอกว่า “เสี่ยงสูงสุด = ความเสียหายมากสุด” หรือ ”= โอกาสเกิดมากสุด” เพียงอย่างเดียว — ทั้งคู่มองแค่แกนเดียว ผิดหลัก impact x likelihood
จัดลำดับตามความเสี่ยง ไม่ใช่ตามความสะดวก
นี่คือหัวใจของทั้งตอน และเป็นจุดที่ข้อสอบวางกับดักหนาแน่นที่สุด พอกาง universe เสร็จ ประเมินความเสี่ยงเสร็จ คำถามคือ อะไรคือตัวขับลำดับความสำคัญ คำตอบตาม the Standards สั้นและเด็ดขาด — ระดับความเสี่ยงที่ประเมินได้ ของแต่ละพื้นที่ พื้นที่ไหนเสี่ยงสูงกว่าได้คิวก่อน จบ
โมเดลความเสี่ยงส่วนใหญ่ไม่ได้ดูปัจจัยเดียว แต่ชั่งหลาย risk factors พร้อมกัน ซึ่งพอลองจับกลุ่มดูจะเห็นเป็นก้อนๆ
ก้อนแรกคือเรื่อง ตัวเงินและของมีค่า — มูลค่าของสินทรัพย์ สภาพคล่องและการเข้าถึง ความมีนัยสำคัญ และ impact กับ likelihood ที่เป็นแกนหลัก ก้อนที่สองคือ สภาพการคุมและความสดของข้อมูล — คุณภาพและการปฏิบัติตามตัวควบคุม กับจังหวะและผลของการตรวจครั้งล่าสุด (เพิ่งตรวจแล้วเจอปัญหาเยอะ นั่นก็คือสัญญาณ) ก้อนที่สามคือ คนและความปั่นป่วน — ความสามารถของฝ่ายบริหาร ระดับการเปลี่ยนแปลงที่กำลังเกิด และโอกาสเกิดการทุจริต (fraud)
สามก้อนนี้เป็นเรื่องภายในองค์กร แต่อย่าลืมแรงจากข้างนอกที่ดันความเสี่ยงได้เหมือนกัน ไม่ว่าจะเป็นบทลงโทษหรือกฎเกณฑ์ทางกฎหมาย การเคลื่อนไหวของคู่แข่งและ supplier มรสุมของทั้งอุตสาหกรรม ไปจนถึงความสัมพันธ์กับพนักงานและภาครัฐ ไม่ต้องท่องให้ครบทุกตัวหรอกครับ จับหลักไว้ว่าปัจจัยไหนก็ตามที่ขยับความเสี่ยงจริง ใช้ตั้งลำดับได้หมด
สังเกตให้ดีนะครับ ทุกปัจจัยในลิสต์นี้ล้วนตอบคำถามเดียวกันว่า สิ่งนี้ทำให้ความเสี่ยงหรือ exposure ของพื้นที่นั้นเปลี่ยนไปไหม ถ้าใช่ มันคือตัวขับลำดับที่ถูก แต่ถ้าปัจจัยที่โยนมาเป็นเรื่อง ความสะดวกของฝ่ายผู้ตรวจเอง — ทักษะที่ทีมพอมี ความชอบส่วนตัว ตารางเวลาที่ลงตัว เวลาที่ผ่านไปนานตั้งแต่ตรวจครั้งก่อน หรือแค่มีคนขอมา — พวกนี้มัน ไม่ได้ทำให้ความเสี่ยงของพื้นที่ที่ถูกตรวจเปลี่ยน เลย เลยเป็นตัวที่สำคัญน้อยที่สุด
มุมเถ้าแก่/สภา: อุปมาเหมือนเถ้าแก่จะเลือกว่าปีนี้ส่งคนไปตรวจฝ่ายไหน ถ้าหัวหน้ากองบอกว่า “เลือกฝ่ายนี้เพราะคนในทีมถนัด” หรือ “เลือกฝ่ายนี้เพราะไม่ได้ไปนานแล้ว” เถ้าแก่ควรจะยักคิ้ว เพราะความถนัดของทีมหรือระยะเวลาที่ผ่านไปไม่ได้บอกว่าฝ่ายไหนกำลังจะรั่ว สิ่งที่เถ้าแก่อยากได้ยินคือ “เลือกฝ่ายนี้เพราะมันเสี่ยงสูงสุด — มีเงินสดหมุนเยอะ ตัวควบคุมเพิ่งเปลี่ยน และมีสัญญาณผิดปกติโผล่มา” นั่นคือเหตุผลที่สภาเถียงไม่ออก
มุมผู้ตรวจ (คนสอบ): จำสองแบบให้แม่น โจทย์แบบ “อะไรคือตัวขับลำดับหลัก / ปัจจัยสำคัญสุด” → ตอบ ระดับความเสี่ยงที่ประเมินได้ (หรือ risk profile + เป้าหมายเชิงกลยุทธ์) ส่วนโจทย์แบบกลับด้าน “อะไรไม่ได้ถูกพิจารณา / สำคัญน้อยที่สุด” → ตอบ ทักษะที่ทีมผู้ตรวจพอมี หรือ ความสัมพันธ์กับฝ่ายบริหาร เจอ NOT/LEAST เมื่อไร ตัวนอกคอกมักเป็นเรื่องความสะดวกของฝ่ายผู้ตรวจ
⚠️ กับดัก: ตัวลวงคลาสสิคของหมวดนี้ที่ต้องจำ คือ “ทักษะที่มีอยู่ในทีมผู้ตรวจ” (นั่นเรื่องการจัดคน ไม่ใช่ความเสี่ยงของพื้นที่ที่ถูกตรวจ) “ความชอบส่วนตัว/ความสะดวกของตาราง/ผลสำรวจความเห็นทีม” (ไม่เคยเป็นฐานจัดลำดับที่ถูก) “เวลาที่ผ่านไปตั้งแต่ตรวจครั้งก่อน” หรือ “จำนวนเรื่องร้องเรียน” เพียงลำพัง (ไม่เท่ากับความเสี่ยง) และตัวที่ล่อหนักสุดคือ “งบสูงกว่า/สภาขอมา = เสี่ยงกว่า” — ผิดเต็มๆ ขนาดของงบหรือตัวคนที่ขอ ไม่ได้สร้างความเสี่ยงให้พื้นที่นั้น เวลามีสองโครงการแย่งคิวกัน ให้ใช้ความรู้ในอุตสาหกรรมชี้ว่าอันไหนเสี่ยงกว่า ไม่ใช่ดูว่าใครงบเยอะกว่าหรือใครขอมา
แผนต้อง dynamic: มีการเปลี่ยนแปลงใหม่ ประเมินความเสี่ยงก่อนเสมอ
แผนตรวจไม่ใช่ของที่ทำเสร็จแล้วแขวนไว้ทั้งปี outline ย้ำว่าแผนต้อง dynamic (ปรับตัวได้ตลอด) เพราะความเสี่ยงมันไม่เคยหยุดนิ่ง โปรไฟล์ความเสี่ยงขององค์กรขยับตามเวลา ตามตัวองค์กรที่เปลี่ยนไป
ตัวกระตุ้นที่ทำให้ต้องรื้อแผนก็มีเยอะ ตั้งแต่การควบรวมกิจการ การออกผลิตภัณฑ์ใหม่ การปรับโครงสร้างครั้งใหญ่ ผู้บริหารระดับสูงเปลี่ยน เหตุการณ์ไซเบอร์ ห่วงโซ่อุปทานสะดุด กฎหมายหรือข้อกำหนดใหม่ การทุจริตที่เพิ่งพบ ไปจนถึงคำขอด่วนจากผู้บริหารหรือสภาในเรื่องที่แผนเดิมไม่ได้ครอบคลุม
หัวใจที่ข้อสอบเจาะซ้ำๆ อยู่ตรงนี้ — พอมีอะไร ใหม่ โผล่เข้ามา ไม่ว่าจะเป็นเทคโนโลยีใหม่ ตลาดใหม่ กฎหมายใหม่ หรือกลยุทธ์ที่เพิ่งปรับ ก้าวแรกคือประเมินความเสี่ยงใหม่เสมอ (หรือปรึกษาสภากับผู้บริหารเรื่องกลยุทธ์ วัตถุประสงค์ และความเสี่ยงก่อน) ไม่ใช่รอให้การเปลี่ยนแปลงเสร็จก่อน ไม่ใช่รอให้ฝ่ายบริหารมารายงานปัญหา ไม่ใช่กระโดดไปติดตั้งกรอบงานหรือระบบใหม่ทันที และไม่ใช่มองแคบแค่ผลกระทบทางการเงิน
ลองไล่ดูตัวอย่างแนวที่ outline กับ pattern ข้อสอบชอบวางกัน
องค์กรเพิ่งเอา IoT (Internet of Things — การเชื่อมอุปกรณ์ต่างๆ เข้าอินเทอร์เน็ต) มาใช้ในสายผลิต — ก้าวแรกคือประเมินความเสี่ยงด้าน cybersecurity ที่มันพามา ไม่ใช่ไปวัดว่ามันช่วยเพิ่มประสิทธิภาพแค่ไหนหรือช่วยภาพลักษณ์ยังไง
องค์กรเพิ่งเปิดโรงงานต่างประเทศ เจอความท้าทายด้าน compliance ใหม่ — ก้าวแรกคือปรึกษาสภากับผู้บริหารระดับสูงเรื่องวัตถุประสงค์และความเสี่ยงก่อน
กลยุทธ์เพิ่งปรับไปทางดิจิทัล/e-commerce — ก้าวแรกคือประเมินความเสี่ยงใหม่ กฎหมายใหม่ออกมาหลังแผนอนุมัติไปแล้ว — ก้าวแรกก็คือเริ่มประเมินความเสี่ยงใหม่ทันที
และถ้าองค์กรยังไม่มีกรอบบริหารความเสี่ยงเป็นทางการเลย — ก้าวแรกของ CAE คือปรึกษาผู้บริหารระดับสูงให้เข้าใจแนวปฏิบัติที่มีอยู่ก่อน แล้วค่อยประเมินความเสี่ยง ไม่ใช่รีบไปแนะนำให้ติดตั้งกรอบใดกรอบหนึ่ง
มุมเถ้าแก่/สภา: ลองนึกภาพเถ้าแก่เพิ่งซื้อเครื่องจักรใหม่ทั้งไลน์ หรือเพิ่งขยายไปเปิดสาขาเมืองนอก แล้วหัวหน้ากองผู้ตรวจการยังเดินแผนเดิมนิ่งๆ เหมือนไม่มีอะไรเกิดขึ้น — นั่นคือกองที่มองไม่เห็นภูมิทัศน์ความเสี่ยงที่เพิ่งเปลี่ยนไปทั้งกระดาน สิ่งที่เถ้าแก่อยากได้คือกองที่พอเห็นของใหม่เข้ามา ก็รีบกลับไปถามว่า “ไอ้ของใหม่นี้มันเพิ่มความเสี่ยงตรงไหนบ้าง” แล้วปรับคิวตรวจตาม ไม่ใช่รอให้เกิดปัญหาก่อนถึงค่อยขยับ
มุมผู้ตรวจ (คนสอบ): คำ trigger ที่ต้องสะดุดตาทันทีคือ ใหม่ / เพิ่ง / recently / just implemented / กลยุทธ์ที่ปรับใหม่ / surprises ที่เพิ่มขึ้น พอเจอคำพวกนี้ ให้มองหา option ที่พูดเรื่อง ระบุและประเมินความเสี่ยงก่อน จะเป็นการทำหรือ refresh risk assessment หรือปรึกษาสภากับผู้บริหารระดับสูงเรื่องกลยุทธ์และความเสี่ยงก็ได้ แล้วค่อยไปจัดตาราง จัดสรร หรือแนะนำทีหลัง
⚠️ กับดัก: ตัวลวงชุดใหญ่ของหมวด “มีของใหม่” มีดังนี้ “รอจนการเปลี่ยนแปลงเสร็จ หรือรอจนฝ่ายบริหารรายงานปัญหา” (ตั้งรับ ผิดเสมอ) “โฟกัสแค่ผลกระทบทางการเงิน/ความคุ้มค่า” (แคบไป ความเสี่ยงไม่ได้มีแค่เรื่องเงิน) “เพิ่มการตรวจพื้นที่เดิมๆ” หรือ “เดินแผนเดิมให้จบโดยไม่แก้” (เมินภูมิทัศน์ความเสี่ยงใหม่) และ “กระโดดไปติดตั้งกรอบงาน/ระบบ IT ใหม่/ลงพื้นที่สังเกตการณ์ทันที” (ลงมือก่อนประเมิน) จำหลักเดียว — ประเมินก่อน ลงมือทีหลัง
CAE ทำแผน สภา + ผู้บริหารอนุมัติร่วมกัน
มาถึงเรื่องใครทำอะไรในแผนนี้ ซึ่งข้อสอบเอาการจับคู่ กริยากับตัวละคร มาวางกับดักเยอะมาก the Standards วางไว้ชัดตาม Standard 9.4 (จำเจตนาพอ ไม่ต้องท่องเลข)
คนที่ สร้างและบริหาร แผนตรวจคือ CAE (chief audit executive — หัวหน้ากองผู้ตรวจการ) โดยต้องอิงกับการประเมินกลยุทธ์ วัตถุประสงค์ และความเสี่ยงขององค์กรที่มีเอกสารรองรับ และการประเมินนั้นต้อง ได้รับ input จากสภาและผู้บริหารระดับสูงทั้งคู่ บวกกับความเข้าใจของ CAE เองเรื่อง governance การบริหารความเสี่ยง และตัวควบคุม ทำอย่างน้อยปีละครั้ง
พอ CAE ร่างแผนเสร็จ เอาไปเสนอผู้บริหารระดับสูง สภา และผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้อง พวกเขา ทบทวนและอนุมัติ โดยดูเรื่องความสอดคล้องกับวัตถุประสงค์เชิงกลยุทธ์ ความครอบคลุมความเสี่ยงสำคัญ ความพอเพียงของทรัพยากร และความเป็นไปได้ด้านเวลา — และการอนุมัตินี้เป็นเรื่องของสภากับผู้บริหารระดับสูง ร่วมกัน ไม่ใช่ฝ่ายใดฝ่ายหนึ่งเดี่ยวๆ
อีกจุดที่ต้องแยกให้ขาด — ใครรับผิดชอบ ทรัพยากร ของกอง คำตอบคือ CAE เป็นผู้รับผิดชอบหลัก ส่วนสภากับผู้บริหารระดับสูงมีหน้าที่ ทำให้มั่นใจว่าทรัพยากรเพียงพอ (ensure adequacy) ไม่ใช่คนบริหารทรัพยากรเอง สองบทบาทนี้ต่างกัน
แล้วถ้ามีคำขอตรวจเฉพาะเรื่องเข้ามาจากสภาหรือผู้บริหาร (management request) ล่ะ CAE ต้องเช็กก่อนว่าคำขอนั้น สอดคล้องกับ charter (กฎบัตร) มิชชัน วัตถุประสงค์ และกรอบบริหารความเสี่ยงที่องค์กรใช้อยู่ไหม แล้วก็ประเมินความเกี่ยวข้อง ความเสี่ยง และผลกระทบของคำขอ เอาไปชั่งลำดับกับงานอื่นที่ตั้งคิวไว้ ว่ารับเข้ามาแล้วจะทำให้ต้องเลื่อนงานตรวจที่สำคัญกว่าไหม แล้วก็ดูข้อจำกัดด้านทรัพยากรของกองด้วย ส่วนคำขอที่สำคัญมากๆ ก็ต้องผ่านการอนุมัติของสภาหรือ audit committee ด้วยเช่นกัน
มุมเถ้าแก่/สภา: อุปมาเหมือนหัวหน้ากองเป็นคนร่างแผนศึกทั้งปี แต่ก่อนร่างต้องไปนั่งฟังทั้งเถ้าแก่และสภาว่าห่วงเรื่องอะไร กังวลจุดไหน พอร่างเสร็จก็เอากลับมาให้ทั้งสองฝ่ายเคาะร่วมกันว่าเห็นชอบ ไม่ใช่หัวหน้ากองร่างเองเออเองหรือให้ฝ่ายใดฝ่ายเดียวสั่งการ เพราะแผนตรวจคือเครื่องมือที่ทั้งเถ้าแก่และสภาใช้เฝ้าอาณาจักร ถ้าคนใดคนหนึ่งไม่ได้ร่วมออกความเห็นและร่วมอนุมัติ แผนนั้นก็ขาดคนเฝ้าไปฝั่งหนึ่ง
มุมผู้ตรวจ (คนสอบ): จับคู่กริยากับตัวละครให้แม่น — สร้าง/บริหารแผนและทรัพยากร = CAE (หลัก) ให้ input/ความคาดหวัง = ผู้บริหารระดับสูง และ สภา (และผู้มีส่วนได้ส่วนเสียอื่น) ทบทวนและอนุมัติ สรุปแผน = ผู้บริหารระดับสูง และ สภา ร่วมกัน และคำขอตรวจจะถูกต้องก็ต่อเมื่อ สอดคล้องกับ charter
⚠️ กับดัก: ตัวลวงหมวดนี้จะเล่นกับ “ฝ่ายเดียว” เป็นหลัก เริ่มจาก “สภาอนุมัติฝ่ายเดียว” หรือ “ผู้บริหารระดับสูงอนุมัติฝ่ายเดียว” (ผิด ต้องทั้งคู่) “ผู้จัดการแผนก/ฝ่ายบุคคลเป็นคนกำหนดความคาดหวังของแผน” (ผิด ไม่ใช่ผู้มีส่วนได้ส่วนเสียที่ตั้งทิศแผน) “สภากับผู้บริหารเป็นผู้รับผิดชอบทรัพยากรหลัก” (ผิด พวกเขาแค่ทำให้มั่นใจว่าพอ CAE รับผิดชอบหลัก) และตัวที่ล่อหนักคือ “CEO/สภาสั่งเปลี่ยนหรือกำหนดลำดับความสำคัญได้เอง” — ผิด พวกเขาให้ input ได้ แต่คนวางแผนแบบ risk-based คือ CAE สภาไม่ได้เป็นคนกำหนดว่าตรวจอะไรก่อนหลัง
⚠️ กับดัก: เจอโจทย์ปัจจัยสำหรับพิจารณาคำขอตรวจจากสภา/ผู้บริหาร (เช่น สภาขอให้ตรวจเรื่อง blockchain) คำตอบที่ถูกวนอยู่รอบ ความสอดคล้องกับ charter บวก ข้อจำกัดด้านทรัพยากร ไม่ใช่การรับทุกคำขอมาทำทันทีเพราะสภาเป็นคนขอ คำขอที่ขัดกับ charter หรือทำให้ต้องทิ้งงานเสี่ยงสูงกว่า ต้องถูกชั่งน้ำหนักก่อนเสมอ
จับคนให้ทักษะตรงงานเสี่ยงสูง ไม่ใช่แก้แบบเหวี่ยงแห
เรื่องสุดท้าย พอรู้แล้วว่าจะตรวจอะไรก่อน คำถามคือ จะจัดคนยังไงให้ทำงานเสี่ยงสูงเหล่านั้นได้จริง the Standards บอกว่า CAE ต้องทำให้ทรัพยากรของกอง เหมาะสม เพียงพอ และถูกจัดวางอย่างมีประสิทธิภาพ ให้ตรงกับแผน หัวใจอยู่ที่ จับทักษะเฉพาะให้ตรงกับงานเชิงกลยุทธ์/งานเสี่ยงสูงเฉพาะเรื่อง — จะด้วยการจ้างคนที่มีทักษะตรงเข้ามา upskill คนเดิมให้ตรงงาน หรือทบทวนความต้องการด้านกำลังคนและการอบรมเป็นระยะก็ได้
ลองไล่ดูแนวที่ pattern ข้อสอบชอบวางกัน
กลยุทธ์ขององค์กรขยับไปทางเทคโนโลยีเกิดใหม่ที่มีความเสี่ยงสูง — วิธีที่ถูกคือ สรรหา/มอบหมายผู้ตรวจที่ได้รับการฝึกด้าน technology risk ให้ไปทำงานที่เกี่ยวข้อง ถ้าจะเอา technology review เข้าแผน ก็ต้อง ระบุชุดทักษะที่ต้องใช้ล่วงหน้า แล้วจัดหาการอบรมหรือจ้างคนไว้ก่อน
องค์กรสตาร์ทอัพที่กลยุทธ์เปลี่ยนเร็วมาก — วิธีที่ถูกคือ ทบทวนความต้องการด้านกำลังคนและการอบรมเป็นระยะ
และถ้าทรัพยากรจำกัดแต่ต้องให้สอดคล้องกลยุทธ์ ก็ จัดลำดับตามความเสี่ยง แล้วส่งผู้เชี่ยวชาญเฉพาะไปที่พื้นที่เสี่ยงสูงสุด ไม่ใช่กระจายทีมเท่าๆ กันทุกที่ หรือหั่น scope ทุกงานลงยกแผง
มุมเถ้าแก่/สภา: อุปมาเหมือนเถ้าแก่จะส่งคนไปคุมงานที่เสี่ยงสุดของอาณาจักร ถ้างานนั้นต้องใช้คนที่รู้เรื่องระบบใหม่ลึกๆ การเทงบไปฝึกทุกคนเท่าๆ กันทั้งกอง หรือเพิ่มงบรวมแล้วหวังว่าจะดีขึ้นเอง มันไม่ตรงจุด สิ่งที่ได้ผลจริงคือหาคนที่ทักษะตรงกับงานเสี่ยงนั้นมาลงตรงนั้น เถ้าแก่จ่ายค่าจ้างผู้เชี่ยวชาญเฉพาะที่แพงกว่า แต่ได้คนที่มองออกว่าจุดเสี่ยงจริงอยู่ตรงไหน คุ้มกว่าจ่ายค่าอบรมเหวี่ยงแหให้คนที่สุดท้ายก็ยังทำงานเฉพาะทางนั้นไม่ได้
มุมผู้ตรวจ (คนสอบ): มองหา option ที่ จับทักษะเฉพาะให้ตรงกับงานเชิงกลยุทธ์/เสี่ยงสูงเฉพาะเรื่อง — จ้างตรงเป้า upskill ตรงเป้า หรือทบทวนกำลังคนเป็นระยะ ตัดตัวเลือกที่ เหมารวม (อบรมทุกคน เพิ่มงบรวม) แค่สลับที่ (โยกคนเดิมมาตั้งทีมโดยไม่เติมความสามารถ) หรือ ยกงานให้คนอื่นหมด (outsource งานเทคโนโลยีทั้งหมด ทิ้งการสร้างความเชี่ยวชาญในบ้าน) และภายใต้ทรัพยากรจำกัด ให้เลือก ทุ่มไปที่พื้นที่เสี่ยงสูงสุดด้วยผู้เชี่ยวชาญเฉพาะ ไม่ใช่กระจายเท่ากันหรือตัด scope ทั้งกระดาน
⚠️ กับดัก: ตัวลวงหมวดนี้ที่ฟังดูดีแต่ผิด มีดังนี้ “จัดอบรมทั่วไปให้ผู้ตรวจ ทุกคน” (กว้างไป ไม่ตรงกับลำดับความสำคัญของแผน) “เพิ่ม/กันงบไว้เป็นเปอร์เซ็นต์คงที่” (มีเงิน แต่ไม่การันตีว่าทักษะที่ถูกต้องจะไปลงงานที่ใช่) “โยกคนเดิมมาตั้งทีมเฉพาะ” (จัดโครงสร้างใหม่โดยไม่เติมความสามารถที่ขาด) และ “outsource งาน technology review ทั้งหมด” (ทิ้งการสร้างความเชี่ยวชาญและการควบคุมในบ้าน) ภายใต้ทรัพยากรจำกัด อย่าเลือก กระจายเท่ากันทุกพื้นที่ หรือ หั่น scope ทุกงานลงเท่าๆ กัน — ให้ทุ่มผู้เชี่ยวชาญไปที่พื้นที่เสี่ยงสูงสุดเสมอ
ตารางกับดักรวม
| สถานการณ์ | คำตอบหลอก | คำตอบจริง |
|---|---|---|
| audit universe คืออะไร | รายการที่เลือกตรวจจริงในรอบนี้ | ทั้งหมดที่ตรวจได้ทั้งองค์กร (กระดานกว้าง) |
| audit universe / plan ทบทวนบ่อยแค่ไหน | ทำครั้งเดียวตอนต้น แล้วแขวนไว้ | อย่างน้อยปีละครั้ง |
| นิยาม risk | ผลของเหตุการณ์ที่แน่นอนว่าจะเกิด / มีแต่ด้านลบ | ผลบวกหรือลบของความไม่แน่นอนต่อ objective |
| วัดความสำคัญของ risk | likelihood อย่างเดียว / impact อย่างเดียว | impact x likelihood ทั้งคู่ |
| detection risk / material misstatement | คือความเสี่ยงที่จัดลำดับในแผน | นั่นคือ audit risk ไม่ใช่ enterprise risk |
| ของชิ้นไหนน้ำหนัก/เสี่ยงสูงสุด | มูลค่าสูงแต่คุมแน่น/เข้าถึงจำกัด/เสียหายกระจาย | มูลค่าสูง + แปลงเป็นเงินง่าย + เข้าถึงไม่จำกัด |
| ตัวขับลำดับความสำคัญหลัก | ทักษะทีม / เวลาที่ผ่านไป / คำร้องเรียน / งบ | ระดับความเสี่ยงที่ประเมินได้ |
| อะไร ไม่ได้ พิจารณา / สำคัญน้อยสุด (NOT/LEAST) | ความซับซ้อน / โอกาสทุจริต / มูลค่า exposure | ทักษะที่ทีมพอมี / ความสัมพันธ์กับฝ่ายบริหาร |
| งบสูงกว่า/สภาขอมา = เสี่ยงกว่า? | ใช่ | ผิด ขนาดหรือตัวคนขอ ไม่สร้างความเสี่ยง |
| มีของใหม่ (เทคโนโลยี/ตลาด/กฎหมาย) เข้ามา ทำอะไรก่อน | รอให้เสร็จ / รอฝ่ายบริหารรายงานปัญหา / โฟกัสแค่การเงิน | ประเมินความเสี่ยงใหม่ก่อนเสมอ |
| เอา IoT มาใช้ในสายผลิต โฟกัสอะไร | ประสิทธิภาพที่เพิ่มขึ้น / ภาพลักษณ์ | ความเสี่ยง cybersecurity ที่มันพามา |
| ยังไม่มีกรอบบริหารความเสี่ยง ทำอะไรก่อน | รีบแนะนำให้ติดตั้งกรอบทันที | ปรึกษาผู้บริหารระดับสูงเข้าใจแนวปฏิบัติก่อน |
| ใครสร้าง/บริหารแผนและทรัพยากร | สภา / ผู้บริหาร / ผู้จัดการแผนก | CAE (หลัก) |
| ใครทบทวนและอนุมัติแผน | สภาฝ่ายเดียว / ผู้บริหารฝ่ายเดียว | สภา และ ผู้บริหารระดับสูง ร่วมกัน |
| ใครรับผิดชอบทรัพยากรของกอง | สภา/ผู้บริหารระดับสูง | CAE (สภา/ผู้บริหารแค่ ensure ว่าพอ) |
| ปัจจัยตัดสินคำขอตรวจจากสภา | รับทำทันทีเพราะสภาขอ | สอดคล้อง charter + ข้อจำกัดทรัพยากร |
| กลยุทธ์ไปทางเทคโนโลยีเสี่ยงสูง จัดคนยังไง | อบรมทุกคน / เพิ่มงบรวม / outsource ทั้งหมด | จับทักษะเฉพาะให้ตรงงานเสี่ยงสูง |
| ทรัพยากรจำกัด จัดสรรยังไง | กระจายเท่ากัน / หั่น scope ทุกงานเท่าๆ กัน | ทุ่มผู้เชี่ยวชาญไปพื้นที่เสี่ยงสูงสุด |
สิ่งที่จดสำหรับวันสอบ
- audit universe = ทั้งหมดที่ตรวจได้ (กว้าง) · audit plan = ที่เลือกตรวจจริง (แคบ คัดด้วยความเสี่ยง) · ทบทวนทั้งคู่ อย่างน้อยปีละครั้ง
- risk = ผลบวกหรือลบของความไม่แน่นอนต่อ objective วัดด้วย impact x likelihood (ต้องมีทั้งคู่) — เหตุการณ์ที่แน่นอน/ด้านลบอย่างเดียว/แกนเดียว = ผิด
- ของน้ำหนักสูงสุด = มูลค่าสูง + แปลงเป็นเงินง่าย + เข้าถึงไม่ถูกจำกัด · คุมแน่น/เข้าถึงจำกัด = กด residual ลง ตัดทิ้ง
- ตัวขับลำดับ = ระดับความเสี่ยงที่ประเมินได้ เท่านั้น · ทักษะทีม/เวลาที่ผ่านไป/คำขอ/งบ/ความสัมพันธ์ = สำคัญน้อยสุด (เจอ NOT/LEAST ตอบพวกนี้)
- มีของ ใหม่/เพิ่ง/กลยุทธ์ปรับ = ก้าวแรก ประเมินความเสี่ยงใหม่ก่อน (หรือปรึกษาสภา+ผู้บริหาร) ห้ามรอ ห้ามมองแค่เงิน ห้ามกระโดดไปติดตั้ง/ลงมือ
- IoT/เทคโนโลยีใหม่ → โฟกัส ความเสี่ยง (cybersecurity) ที่มันพามา ไม่ใช่ประสิทธิภาพ/ภาพลักษณ์
- CAE สร้าง/บริหารแผน · input จาก สภา + ผู้บริหารระดับสูงทั้งคู่ · ทบทวนและอนุมัติร่วมกัน ทั้งสองฝ่าย — ระวังตัวลวง “ฝ่ายเดียว” และ “ผู้จัดการแผนก/ฝ่ายบุคคล”
- ทรัพยากรกอง: CAE รับผิดชอบหลัก · สภา/ผู้บริหารแค่ทำให้มั่นใจว่าพอ · คำขอตรวจต้อง สอดคล้อง charter + ดูข้อจำกัดทรัพยากร
- แผน dynamic — risk ไม่นิ่ง · ควบรวม/ผลิตภัณฑ์ใหม่/ผู้บริหารเปลี่ยน/ไซเบอร์/กฎหมายใหม่/ทุจริต = ตัวกระตุ้นรื้อแผน (อนุมัติแก้ที่ระดับสภาเหมือนตอนอนุมัติแผน)
- จัดคน = จับทักษะเฉพาะให้ตรงงานเสี่ยงสูง (จ้างตรงเป้า/upskill/ทบทวนกำลังคนเป็นระยะ) ไม่ใช่อบรมทุกคน เพิ่มงบรวม โยกคนเฉยๆ หรือ outsource ทั้งหมด · จำกัดทรัพยากร = ทุ่มผู้เชี่ยวชาญไปพื้นที่เสี่ยงสูงสุด
- แผนและ risk assessment ต้องคุยกับสภา ทั้งความเสี่ยงที่ แผนครอบคลุม และความเสี่ยงที่ คุมไม่ได้เพราะทรัพยากรจำกัด — ความโปร่งใสตรงนี้คือหัวใจ
เรารู้แล้วว่าแผนจัดลำดับด้วยความเสี่ยง แต่ตัว งานตรวจ แต่ละชิ้นมันโผล่มาจากไหนกันแน่ และเมื่อในองค์กรมีคนตรวจหลายเจ้า จะจัดแถวกันยังไงไม่ให้ตรวจซ้ำ — ตอนหน้าเราไปดูแหล่งงานตรวจกับการประสานผู้ให้ความเชื่อมั่นรายอื่นครับ ตอนถัดไป: แหล่งงานตรวจและการประสานงาน
อ้างอิง: Gleim CIA Review (2026), Part 3 · IIA Global Internal Audit Standards (2024)