สารบัญ
ลองนึกภาพอาณาจักรเถ้าแก่ที่โตขึ้นมาจนมีกองผู้ตรวจการหลายกองเดินชนกันในตึกเดียว กองผู้ตรวจการภายในกำลังจะลงไปดูสาขาหนึ่ง พอเดินไปถึงก็เจอทีม compliance นั่งขอเอกสารชุดเดียวกันอยู่ก่อนแล้ว พอหันหลังกลับก็เจอผู้สอบบัญชีจากข้างนอกกำลังนัดคุยกับผู้จัดการสาขาคนเดิม เรื่องเดียวกันเป๊ะ เถ้าแก่ที่ยืนดูอยู่บนชั้นบนคงเกาหัวว่า อ้าว จ่ายเงินจ้างคนตรวจตั้งสามกอง ทำไมมันไปกองรวมกันอยู่ที่สาขาเดียว แล้วสาขาอื่นที่เสี่ยงกว่ากลับไม่มีใครแตะเลย คำถามของทั้งตอนนี้คือ งานตรวจแต่ละชิ้น มันโผล่มาจากไหน และเมื่อในอาณาจักรมีคนตรวจหลายเจ้า จะจัดแถวกันยังไงไม่ให้ตรวจซ้ำที่เดิมจนงบบานแล้วปล่อยรูโหว่ทิ้งไว้ที่อื่น
ตอนที่แล้ว (ตอนที่ 41) เราวางแผนตรวจทั้งอาณาจักรด้วยความเสี่ยงเป็นตัวตั้ง ตั้งแต่สร้าง audit universe ประเมิน risk ด้วย impact x likelihood จัดลำดับตามความเสี่ยงจริงไม่ใช่ความสะดวก และแผนต้อง dynamic ปรับใหม่ทุกครั้งที่มีการเปลี่ยนแปลง ตอนนี้เราถามต่ออีกชั้น — แล้วงานตรวจแต่ละชิ้นที่มาเติมในแผนนั้น มันมาจากไหนบ้าง และเมื่อมีคนตรวจหลายเจ้าในองค์กร จะประสานกันยังไง
โครงของบท
- แหล่งที่มาของงานตรวจ — งานไม่ได้โผล่มาลอยๆ มันมาจาก audit universe, management request, ข้อบังคับกฎหมาย, whistleblower, ผลตรวจภายนอก, Topical Requirements และการประเมินสภาพแวดล้อมการควบคุม
- เทคโนโลยีใหม่ตรวจอะไรก่อน — smart machines, BYOD, IoT, AI, RPA, blockchain โผล่เป็นแหล่งงานใหม่ และหัวใจข้อสอบคือ ตรวจ security/integrity/privacy ก่อน cost/speed/UI เสมอ + นิยามแต่ละตัวต้อง “พอดี” ไม่เว่อร์
- วัดจริยธรรมองค์กรยังไง — ใช้เครื่องมือถามคนโดยตรง (survey, code of conduct + training) ไม่ใช่ดูงบการเงิน และมันเป็น ปัจจัยหนึ่ง ไม่ใช่ปัจจัยเดียว
- ใครประสาน ใครกำกับ — CAE เป็นคน ประสาน (coordinate), board เป็นคน กำกับดูแล (oversee), การ outsource ไม่เคยโอนความรับผิดชอบสุดท้ายออกไป
- จะพิงงานคนอื่นได้เมื่อไร — ดู objectivity, independence, competence, due professional care ก่อน ส่วนค่าจ้าง/ขนาดทีม/สายบังคับบัญชาเป็นตัวลวง
- ประสานยังไงให้ดีที่สุด — combine + share ผ่าน assurance map / shared risk register ไม่ใช่ตรวจเดี่ยว ยกเลิก หรือแค่ขอ workpaper มากอง
งานตรวจมันโผล่มาจากไหน
เริ่มจากคำถามพื้นฐานสุดก่อนครับ — พอถึงต้นปี CAE (chief audit executive หรือหัวหน้ากองผู้ตรวจการ) ต้องนั่งทำ internal audit plan ว่าปีนี้จะไปตรวจอะไรบ้าง แล้วรายการงานพวกนั้น มาจากไหน คำตอบคือมันไหลมาจากหลายท่อพร้อมกัน ไม่ได้มาจากท่อเดียว
ท่อแรกและเป็นแกนหลักคือ audit universe ลิสต์รวมของทุกหน่วยที่ตรวจได้ในองค์กร ทั้งกระบวนการ ระบบ สาขา โครงการ บัญชี แผนก ทุกอย่างที่นิยามและประเมินได้ พอมี universe แล้ว CAE เอาความเสี่ยงมาจับคู่กับหน่วยพวกนี้ งานที่เสี่ยงสูงก็ขึ้นก่อน นี่คือหัวใจของคำว่า risk-based — เรื่องนี้เราลงลึกไปแล้วในตอน /posts/cia-p3-41-risk-based-audit-plan/ เลยจะไม่ย้ำวิธีทำ risk assessment ซ้ำ ตอนนี้โฟกัสที่ ท่ออื่นๆ ที่ป้อนงานเข้ามานอกเหนือจากตัว universe
ท่อที่สองคือ management request — เป็นคำขอตรวจที่มาจากผู้บริหารหรือ board โดยตรง อาจเป็นเรื่องที่เขาไม่สบายใจ อยากได้ความมั่นใจเร็วๆ ในจุดที่อ่อนไหว จุดที่ต้องระวังคือ CAE รับคำขอมาแล้วไม่ใช่ทำทันทีทุกอัน ต้องชั่งว่าคำขอนั้น เกี่ยวข้อง เสี่ยง และกระทบแค่ไหน สอดคล้องกับ internal audit charter (กฎบัตรที่ตั้ง internal audit mandate คืออำนาจหน้าที่ของกองผู้ตรวจการ) ไหม และถ้ารับมาแล้วต้องเลื่อนงานสำคัญอื่นออกไป ก็ต้องประเมินก่อน คำขอที่มีนัยสำคัญต้องผ่านการอนุมัติจาก board หรือ audit committee ด้วย ไม่ใช่ผู้บริหารสั่งปุ๊บทำปั๊บ
ท่อที่สามเป็นเรื่อง กฎหมายและข้อบังคับ งานตรวจบางชิ้นเป็นงานบังคับ ตรวจเพราะกฎหมายสั่ง เช่น เรื่องความปลอดภัยอาชีวอนามัย หรือเงื่อนไขที่ติดมากับสัญญาราชการ พวกนี้ไม่มีทางเลือก ต้องขึ้นแผน ท่อที่สี่คือ whistleblower report คือการไล่ดูเรื่องร้องเรียนเพื่อจับ breach ของการควบคุม การทุจริต (fraud) และการทำผิดอื่นๆ ท่อที่ห้าคือ ผลจากรายงานการตรวจภายนอก สิ่งที่ผู้สอบบัญชีข้างนอกเจอ อาจกลายเป็นจุดที่กองผู้ตรวจการต้องเข้าไปดูต่อ และท่อที่หกคือ Topical Requirements ของ the Standards ที่ตั้งเพดานขั้นต่ำสำหรับหัวข้อความเสี่ยงบางเรื่อง (อย่าง cybersecurity) — ถ้าเรื่องนั้นโผล่เข้ามาในแผน ก็ต้องใช้ Topical Requirement ที่เกี่ยวข้องมาเป็นเกณฑ์ประเมิน เรื่อง Topical Requirements เราแตะไว้แล้วในองก์ engagement ที่ตอน /posts/cia-p2-17-objectives-scope-criteria-topical-requirements/ เดี๋ยวจะไม่ลงซ้ำ
- มุมเถ้าแก่/สภา: สำหรับเถ้าแก่ การรู้ว่างานตรวจมาจากหลายท่อแปลว่ากองผู้ตรวจการไม่ได้ตรวจแค่สิ่งที่ตัวเองอยากตรวจ แต่ตรวจสิ่งที่ อาณาจักรจำเป็นต้องตรวจ — ทั้งจุดที่เถ้าแก่กังวลเอง จุดที่กฎหมายบังคับ และจุดที่มีคนกระซิบมาว่ามีพิรุธ ความสบายใจของเถ้าแก่มาจากการที่ไม่มีท่อไหนถูกลืม
- มุมผู้ตรวจ (คนสอบ): ข้อสอบชอบให้ลิสต์แหล่งงานมาแล้วถามว่าอันไหน ไม่ใช่ แหล่งงาน หรือถามว่า management request ที่มีนัยสำคัญต้องใครอนุมัติ — จำว่า board/audit committee เป็นคนอนุมัติคำขอสำคัญ และจำว่า charter คือที่มาของ mandate ไม่ใช่แค่กระดาษพิธีการ
เจอเทคโนโลยีใหม่ ตรวจความปลอดภัยก่อนของแวววาว
พอโลกเปลี่ยน เทคโนโลยีใหม่ก็กลายเป็นแหล่งงานตรวจชุดใหม่ทันที หนังสือไล่มาหลายตัว ได้แก่ smart machines (เครื่องที่เรียนรู้และทำงานเองได้โดยไม่ต้องมีคนสั่งทีละขั้น ปรับพฤติกรรมตามประสบการณ์ และบางทีให้ผลที่ไม่คาดคิด), BYOD (bring your own device คือการที่คนในองค์กรเอาอุปกรณ์ส่วนตัว เช่น มือถือ แท็บเล็ต มาต่อเข้าระบบงานขององค์กร), IoT (Internet of Things คือการเอา sensor ไปฝังในของต่างๆ แล้วมันเก็บข้อมูลมหาศาลส่งกลับมา), AI, RPA (robotic process automation), และ blockchain
ตรงนี้แหละที่ข้อสอบวางกับดักหนักที่สุดในทั้ง subunit และมันมีแค่ หลักเดียว ที่ต้องจำให้ขึ้นใจ — เจอเทคโนโลยีใหม่อะไรก็ตาม สิ่งที่ผู้ตรวจต้องเล็งเป็นอันดับหนึ่งคือ ความปลอดภัย ความถูกต้องของข้อมูล และความเป็นส่วนตัว (security / integrity / privacy) ไม่ใช่เรื่องประหยัดเงิน ไม่ใช่ความเร็ว ไม่ใช่หน้าตาใช้ง่าย ไม่ใช่พนักงานชอบหรือไม่ชอบ ของใหม่มาปุ๊บ ตรวจว่ามันปลอดภัยไหมก่อนเลย
ลองไล่ดูตัวอย่างที่ข้อสอบชอบออกนะครับ องค์กรเอา IoT มาใช้ในโรงพยาบาล ความเสี่ยงหลักที่ต้องตรวจคือ ข้อมูลรั่วจากอุปกรณ์ที่ความปลอดภัยไม่แน่นหนา ไม่ใช่ต้นทุนอุปกรณ์ ไม่ใช่ว่าคนไข้จะได้คุยกับหมอน้อยลง · องค์กรจะทำ BYOD ประเด็นที่ต้องดูคือ ความปลอดภัยของข้อมูลและการควบคุมการเข้าถึง ไม่ใช่พนักงานพอใจไหมหรืออุปกรณ์หลากหลายแค่ไหน · องค์กรลอง blockchain โฟกัสของการตรวจคือ ความปลอดภัยและความถูกต้องของธุรกรรม ไม่ใช่ความเร็วหรือ UI · และมุมพลิกที่แนบเนียนสุด — พอเป็น IoT ที่เก็บข้อมูลเยอะ คำตอบเรื่องความปลอดภัยจะถูกเขียนเป็น “การเก็บข้อมูลที่มากขึ้นและความกังวลเรื่องความเป็นส่วนตัว” แทนคำว่า “ข้อมูลรั่ว” ตรงๆ แต่มันก็ยังอยู่ในตระกูล security อยู่ดี ให้เลือกตัวนั้น
- มุมเถ้าแก่/สภา: เถ้าแก่ชอบของใหม่ที่ประหยัดและเร็ว นั่นคือเหตุผลที่ เถ้าแก่ซื้อ มัน แต่หน้าที่ของกองผู้ตรวจการไม่ใช่มายืนยันว่าของถูกและเร็วจริง — เรื่องนั้นเป็น ประโยชน์ ที่ฝ่ายบริหารรับผิดชอบอยู่แล้ว หน้าที่ของผู้ตรวจคือถามคำถามที่เถ้าแก่ตื่นเต้นจนลืมถาม นั่นคือ “ของใหม่นี่มันเปิดประตูหลังให้ข้อมูลลูกค้ารั่วออกไปไหม”
- มุมผู้ตรวจ (คนสอบ): กวาดสี่ตัวเลือก หยิบตัวที่อยู่ในตระกูล security / integrity / privacy / data protection ถ้ามีตัวเดียวที่พูดเรื่องความปลอดภัย มันชนะทันที และตัดทุกตัวที่พูดเรื่อง cost, speed, UI, productivity, ความพอใจ, ความนิยม, แบรนด์, หรือ “จะมาแทน” อะไรสักอย่าง — พวกนี้เป็นประโยชน์หรือการคาดเดา ไม่ใช่ความเสี่ยงที่ทำให้ต้องตรวจ
⚠️ กับดัก: ข้อสอบชอบวาง “การประหยัดต้นทุน” เป็นตัวเลือกที่ดูมีเหตุผลน่ารับผิดชอบ — แต่การประหยัดเงินคือ ผลประโยชน์ทางการเงิน ไม่ใช่ความเสี่ยงที่ผู้ตรวจต้องเล็ง เช่นเดียวกับความเร็วในการประมวลผล ความง่ายในการติดตั้ง หน้าตาใช้ง่าย พวกนี้เป็นความสะดวกเชิงปฏิบัติการ รองจากความปลอดภัยเสมอ ต่อให้ตัวเลือกพวกนั้น เป็นเรื่องจริง ก็ตาม เพราะข้อสอบวัด ลำดับความสำคัญเชิงเปรียบเทียบ ไม่ได้ถามว่าอันไหนจริง
⚠️ กับดัก: อีกชั้นคือนิยามของเทคโนโลยีแต่ละตัว — ตัวเลือกที่ พูดเกินจริง คือตัวที่ผิด RPA ทำงานกับงานที่ มีกฎตายตัวและทำซ้ำๆ อย่างการคีย์ข้อมูล การประมวลใบแจ้งหนี้ มันแค่ ช่วย คน ไม่ได้ “แทนที่แรงงานทั้งหมด” และไม่ได้ “ตัดสินใจเรื่องซับซ้อน” พอเจอตัวเลือกที่มีคำว่า ทั้งหมด / เต็มรูปแบบ / ซับซ้อน / เพียงผู้เดียว ให้สงสัยไว้ก่อนว่าเป็นตัวเว่อร์ที่วางมาลวง
⚠️ กับดัก: สลับนิยามข้ามตัว — เอา outsourcing หรือ workflow optimization มาวางแทน RPA, เอา framework อย่าง NIST/COSO/CIS มาวางแทน BYOD (ทั้งที่ BYOD เป็น นโยบาย กำหนดแนวทางใช้อุปกรณ์ส่วนตัว ไม่ใช่ framework), เอา blockchain/IoT มาวางแทน smart machines จำแก่นแคบๆ ของแต่ละตัวไว้ให้ดี คือ RPA = งานกฎซ้ำ, BYOD = นโยบายอุปกรณ์ส่วนตัว, smart machines = ทำงานเองโดยไม่ต้องมีคน, IoT = sensor เก็บข้อมูลอัตโนมัติ (ไม่ใช่แบบสอบถามหรือการสังเกต)
วัดจริยธรรมองค์กรต้องถามคน ไม่ใช่ดูงบ
อีกแหล่งงานที่ subunit นี้เน้นคือ การประเมินการควบคุม — board หรือฝ่ายบริหารขอให้กองผู้ตรวจการประเมิน internal control เป็นส่วนหนึ่งของการกำกับดูแล และหนึ่งในคำถามที่กองผู้ตรวจการต้องตอบคือ สภาพแวดล้อมทางจริยธรรมและวัฒนธรรมองค์กรแข็งแรงไหม board กับผู้บริหารระดับสูงทำตัวเป็นแบบอย่างความซื่อสัตย์หรือเปล่า เป้าผลงานที่ตั้งไว้สมจริงหรือกดดันจนคนอยากโกงตัวเลข code of conduct ถูกตอกย้ำด้วยการอบรมและการสื่อสารจากบนลงล่างไหม
คำถามคือ จะวัดเรื่องนามธรรมอย่างจริยธรรมยังไง คำตอบที่ข้อสอบต้องการคือ ใช้เครื่องมือที่ ถามคนโดยตรง — การสำรวจการรับรู้ของพนักงาน (employee perception survey) และ code of conduct ที่เสริมด้วยการอบรม พวกนี้อ่านวัฒนธรรมได้ตรงตัว ส่วนงบการเงินหรือ framework บริหารความเสี่ยงทั่วไป มันวัดเงินกับความเสี่ยง ไม่ได้วัดวัฒนธรรม
- มุมเถ้าแก่/สภา: เถ้าแก่รู้ดีว่าตัวเลขสวยๆ ในงบไม่ได้แปลว่าคนในองค์กรซื่อ บางทีตัวเลขยิ่งสวยเพราะมีคนกดดันให้ปั้น การจะรู้ว่าลูกน้องกลัวจนไม่กล้าพูดความจริงหรือเปล่า ต้องไป ถามลูกน้อง ไม่ใช่อ่านงบ นี่คือเหตุผลที่การสำรวจความรู้สึกพนักงานมีค่ากับเถ้าแก่มากกว่าที่คิด
- มุมผู้ตรวจ (คนสอบ): เจอคำถาม “จะเข้าใจสภาพแวดล้อมจริยธรรมได้ยังไง” ให้หยิบตัวที่ วัดคนโดยตรง — survey หรือ code + training ตัดงบการเงิน framework ความเสี่ยงลอยๆ และการสังเกตการทำงานประจำวันทิ้ง เพราะพวกนั้นเป็นตัวแทนทางอ้อม
⚠️ กับดัก: ข้อสอบชอบวางน้ำหนักของจริยธรรมแบบสุดโต่งสองทาง — “จริยธรรมเป็นปัจจัย ที่สำคัญที่สุด” หรือ “เป็นเพียงเรื่องเล็กน้อย” ทั้งคู่ผิด คำตอบที่ถูกคือตรงกลางกลางๆ ว่ามันเป็น ปัจจัยหนึ่งในหลายปัจจัย และระวังตัวลวงที่บอกว่าจริยธรรม “เป็นตัวกำหนดงบประมาณการตรวจ” เพราะงบนั้น board เป็นคนตั้ง ไม่ใช่เรื่องจริยธรรมตัวเดียว
ใครประสาน ใครกำกับ — เส้นที่ห้ามสลับ
ทีนี้มาถึงครึ่งหลังของตอน กองผู้ตรวจการไม่ได้ทำงานเจ้าเดียวในอาณาจักร ยังมี compliance, QA, ฝ่ายบริหารความเสี่ยง และผู้สอบบัญชีจากภายนอกเดินอยู่ในพื้นที่เดียวกัน ทุกคนต่างก็ให้ “ความเชื่อมั่น” (assurance) ในแบบของตัวเอง the Standards จึงกำหนดว่า CAE ต้อง ประสาน (coordinate) กับผู้ให้ความเชื่อมั่นทั้งภายในและภายนอก และพิจารณาว่าจะพิงงานเขาได้ไหม ประโยชน์หลักของการประสานคือ ลดการตรวจซ้ำซ้อนและเพิ่มความครอบคลุมของการตรวจให้มากที่สุด
เส้นแรกที่ห้ามสลับเด็ดขาดคือเส้นระหว่าง ประสาน กับ กำกับดูแล — CAE เป็นคนประสาน (coordinate) งานตรวจ ส่วน board เป็นคนกำกับดูแล (oversee) การจับคู่คำกริยากับบทบาทให้ถูกคือหัวใจของกับดักชุดนี้ ประสาน จัดการ รายงานผลการประสานให้ board = งานของ CAE · กำกับดูแล และคงความรับผิดชอบสุดท้ายไว้ = งานของ board/organization ที่โอนออกไปไม่ได้
และเรื่องการ outsource — ต่อให้องค์กรจ้างข้างนอกมาทำงาน internal audit ทั้งก้อน การกำกับดูแลกับความรับผิดชอบสุดท้ายก็ ไม่เคยถูกโอนออกไปด้วย ผู้ให้บริการภายนอกที่ดีต้องเตือนองค์กรเองด้วยซ้ำว่า องค์กร ยังคงเป็นผู้รับผิดชอบสุดท้าย อยู่ การจ้างคนมาตรวจไม่ได้แปลว่าจ้างคนมารับผิดแทน
- มุมเถ้าแก่/สภา: ในฐานะเจ้าขององค์กร board ต้องเข้าใจว่าจะจ้างใครมาตรวจก็ได้ แต่ถ้าเกิดเรื่อง คนที่ต้องตอบต่อผู้ถือหุ้นและต่อสังคมคือ board เอง ไม่ใช่บริษัทที่จ้างมา เพราะฉะนั้น board จะปล่อยมือจากการ กำกับ ไม่ได้ แม้จะปล่อยมือจากการ ลงมือตรวจ ไปแล้ว
- มุมผู้ตรวจ (คนสอบ): จับคำกริยาให้ตรงบทบาท — ใครทำ การประสานจริงๆ ระหว่างตรวจภายในกับภายนอก = CAE · ใครรายงานประโยชน์ของการประสานให้ board = CAE ไม่ใช่ผู้สอบบัญชีภายนอก และถ้าเจอโจทย์แบบ “ข้อใด ไม่จริง” ตัวที่ต้องเลือกมักเป็นตัวที่ยกงาน กำกับดูแล ของ board ไปให้ CAE หรือบอกว่า outsource แล้วโอนการกำกับ/ความรับผิดชอบออกไปได้
⚠️ กับดัก: ข้อสอบชอบวาง board เป็นคน “ประสาน” — ผิด board แค่ กำกับ การประสานเป็นงาน CAE · และชอบวางฝ่ายบริหารหรือผู้สอบบัญชีภายนอกเป็น “ผู้มีส่วนได้เสียที่ประสานงาน” ทั้งที่เขาเป็นแค่ผู้มีส่วนได้เสีย ไม่ใช่ผู้รับผิดชอบการประสาน
⚠️ กับดัก: ในโจทย์แบบ “ข้อใดเป็นเท็จ” ตัวที่ต้องหยิบคือข้อที่บอกว่า การกำกับดูแลผู้สอบบัญชีภายนอกเป็นความรับผิดชอบของ CAE — เพราะจริงๆ มันเป็นของ board และตัวลวงเรื่อง outsource ที่บอกว่า “การกำกับถูก outsource ออกไป” หรือ “ความรับผิดชอบถูก outsource ออกไป” ผิดทั้งคู่
จะพิงงานคนอื่นได้ ต้องดูความสามารถ ไม่ใช่ค่าจ้าง
พอจะประสานกันแล้ว คำถามถัดมาคือ จะ “พิง” (rely on) งานของผู้ให้ความเชื่อมั่นรายอื่นได้แค่ไหน เพราะถ้าพิงได้ กองผู้ตรวจการก็ไม่ต้องทำซ้ำ ประหยัดทรัพยากรไปเยอะ แต่จะพิงมั่วๆ ไม่ได้ ต้องประเมินคุณภาพของเขา ก่อน จะพิง
เกณฑ์แกนที่ the Standards ให้ดูมีสี่ตัว — objectivity (ความเที่ยงธรรม), independence (ความเป็นอิสระ), competence (ความสามารถ), และ due professional care (ความระมัดระวังเยี่ยงมืออาชีพ) หัวใจของการตัดสินคือถามว่า เกณฑ์นี้พิสูจน์ไหมว่างานชิ้นนั้นทำอย่างเที่ยงธรรมและมีความสามารถจริง ถ้าอยากตรวจสอบความน่าเชื่อของงานเขาแบบตรงๆ ก็ไป ดู methodology ขั้นตอนการทดสอบ กับหลักฐานที่รองรับ ของงานชิ้นนั้น และจำไว้ว่าต่อให้พิงงานเขา CAE ก็ ไม่หลุดจากความรับผิดชอบสุดท้ายต่อข้อสรุป
ตัวลวงที่ข้อสอบวางประจำคือ ค่าจ้าง (audit fees) — มันเป็นปัจจัยที่ สำคัญน้อยที่สุด พอเจอโจทย์แบบ “CAE น่าจะพิจารณาน้อยที่สุด” คำตอบที่ต้องหยิบกลับกลายเป็นเรื่องค่าจ้างนี่แหละ นอกจากค่าจ้างแล้ว ตัวลวงอื่นก็มีอีกหลายตัว เช่น เคยร่วมงานกันมาก่อน สายบังคับบัญชาคล้ายกัน ทีมใหญ่กว่า ใบรับรอง ความสัมพันธ์ในวงการ คำชื่นชม พวกนี้พูดถึงชื่อเสียงทั่วไป ไม่ได้พิสูจน์ ว่างานชิ้นนี้ทำด้วยความระมัดระวังเยี่ยงมืออาชีพ ยิ่งไปกว่านั้น การมีสายบังคับบัญชาร่วมกันอาจ ทำร้าย ความเป็นอิสระด้วยซ้ำ
- มุมเถ้าแก่/สภา: เถ้าแก่คงอยากได้ผู้ตรวจข้างนอกที่ค่าตัวถูก แต่พอคิดให้ดี ของถูกที่ทำงานลวกๆ แล้วต้องมาตรวจซ้ำ มันแพงกว่าเยอะ สิ่งที่ทำให้เถ้าแก่พิงงานคนนอกได้อย่างสบายใจไม่ใช่ราคา แต่คือความมั่นใจว่าคนนั้น ทำงานเป็นและไม่มีส่วนได้เสีย ต่างหาก
- มุมผู้ตรวจ (คนสอบ): เกณฑ์ สำคัญที่สุด ในการพิงงาน = objectivity + independence + competence + due professional care · วิธีตรวจสอบความน่าเชื่อ ตรงที่สุด = ดู methodology, ขั้นตอนทดสอบ, หลักฐานรองรับ · และในโจทย์ “สำคัญน้อยที่สุด” คำตอบคือ ค่าจ้าง
⚠️ กับดัก: ระวังทิศของโจทย์ให้ดี — ในโจทย์ปกติ “เกณฑ์ที่สำคัญที่สุด” ค่าจ้างคือตัวที่ ตัดทิ้ง แต่พอโจทย์พลิกเป็น “สำคัญน้อยที่สุด / น่าจะพิจารณาน้อยที่สุด” ค่าจ้างกลายเป็นตัวที่ ต้องเลือก อ่านให้ออกว่าโจทย์ถามหาตัวเด่นหรือตัวด้อย
⚠️ กับดัก: ใบรับรอง ความสัมพันธ์ในวงการ ทีมใหญ่ เคยร่วมงานกันมา — วางมาให้ดูเหมือนเป็นเหตุผลพิงงานได้ แต่ไม่มีอันไหนพิสูจน์ว่างาน ชิ้นนี้ ทำอย่างมีความสามารถ ที่ร้ายกว่าคือสายบังคับบัญชาร่วมกันอาจลดความเป็นอิสระ กลายเป็นเหตุผล ไม่ให้พิง เสียด้วยซ้ำ
ประสานร่วมกัน อย่าทำเดี่ยว — assurance map คือเครื่องมือ
เรื่องสุดท้ายที่ผูกทั้งครึ่งหลังเข้าด้วยกัน — เมื่อกองผู้ตรวจการกับผู้ให้ความเชื่อมั่นรายอื่นทำงานทับกัน จะจัดการยังไงให้ดีที่สุด คำตอบไม่ใช่ต่างคนต่างทำ ไม่ใช่ยกเลิกงานตัวเองหนี ไม่ใช่แค่ไปขอ workpaper เขามากอง คำตอบคือ รวมกิจกรรมเข้าด้วยกันแล้วแบ่งปันผลลัพธ์ (combine activities + share results) เมื่อสองหน่วยทำเรื่องทับกัน
เครื่องมือเชิงโครงสร้างที่ดีที่สุดคือ assurance map — ตารางที่จับ ความเสี่ยง ขององค์กรมาวางคู่กับ ผู้ให้ความเชื่อมั่น แต่ละราย เพื่อดูว่าความเสี่ยงก้อนไหนใครดูแลอยู่ พอกางแผนที่นี้ออกมาก็จะ เห็นทั้งจุดที่ตรวจซ้ำ และจุดที่เป็นรูโหว่ไม่มีใครดูเลย พร้อมกัน อีกเครื่องมือที่ทำงานคล้ายกันคือ shared risk register (ทะเบียนความเสี่ยงที่ใช้ร่วมกัน) และในเชิงรุก วิธีที่ดีที่สุดในการอุดรูโหว่คือ ประสานลักษณะ ขอบเขต และจังหวะเวลา (synchronize the nature, extent, and timing) ของงานที่วางแผนไว้กับผู้ให้ความเชื่อมั่นรายอื่น
ทั้งหมดนี้นั่งอยู่บนโครงใหญ่ที่เรียกว่า Three Lines Model — โมเดลที่แยกบทบาทออกเป็นสามแนว แนวแรก (first line) คือคนที่ส่งมอบสินค้าบริการและรับผิดชอบจัดการความเสี่ยงโดยตรง · แนวสอง (second line) คือหน่วยอย่าง compliance ที่ช่วยสนับสนุน เฝ้าติดตาม และท้าทายแนวแรก · แนวสาม (third line) คือ internal audit function ที่ให้ความเชื่อมั่นและคำแนะนำ (advisory) อย่างเป็นอิสระ และรายงานต่อ board รู้ว่าใครอยู่แนวไหนช่วยให้เห็นว่าทำไม compliance กับ internal audit ถึงต้องประสานกัน ไม่ใช่ตรวจทับกัน ในโมเดล combined assurance กองผู้ตรวจการประสานกับกิจกรรมแนวสองอย่าง compliance เพื่อลดความถี่และความซ้ำซ้อนของงานตรวจ
- มุมเถ้าแก่/สภา: เถ้าแก่ไม่สนหรอกว่าใครจะเรียกตัวเองว่าแนวไหน เถ้าแก่สนแค่ว่า จ่ายเงินจ้างคนตรวจไปแล้ว ความเสี่ยงทุกก้อนมีคนดูครบไหม และมีก้อนไหนถูกตรวจซ้ำสามรอบจนเปลืองงบไหม assurance map คือภาพเดียวที่ตอบคำถามนี้ให้เถ้าแก่ได้ในแผ่นเดียว
- มุมผู้ตรวจ (คนสอบ): เจอโจทย์ “สองหน่วยวางแผนตรวจเรื่องเดียวกัน ควรทำอะไร” = รวมกิจกรรมและแบ่งปันผล · “เครื่องมือที่ดีที่สุดเพื่อประสานและเลี่ยงการซ้ำซ้อน” = สร้าง shared risk register / assurance map · “วิธีเชิงรุกที่สุดในการลดรูโหว่” = ประสานจังหวะเวลาและขอบเขต · ตัดทุกตัวที่บอกให้ ทำเดี่ยว ยกเลิก หรือแค่เก็บเอกสาร
⚠️ กับดัก: ตัวเลือกสุดโต่งเชิงหวงพื้นที่ อย่าง “ตรวจให้จบเองโดยไม่ยุ่งกับใคร” หรือ “ยกเลิกงานตรวจของเราไปเลย” สร้างทั้งการตรวจซ้ำและรูโหว่ ผิดทั้งคู่ · ส่วนตัวเลือกเชิงตั้งรับ — “เรียกขอ workpaper เขาทั้งหมด” “ขอสำเนารายงานทุกฉบับ” “ให้เขาส่งแผนงานประจำปีมา” ก็เป็นแค่การ เก็บเอกสาร ไม่ใช่การประสานจริง
⚠️ กับดัก: ในโจทย์แบบ “ข้อใด ไม่ใช่” ตัวลวงคือข้อที่บอกว่า การแบ่งปันผลลัพธ์เป็นการละเมิดข้อตกลง — ผิด เพราะการแบ่งปันผลคือ หัวใจ ของการประสานพอดี · และการแค่ดูผังองค์กรหรือเข้าประชุมร่วม ช่วยแค่ ระบุ ว่ามีผู้ให้ความเชื่อมั่นรายไหนบ้าง แต่ไม่ได้จับความเสี่ยงมาแมปกับความเชื่อมั่นจริง
ตารางกับดักรวม
| สถานการณ์ | คำตอบหลอก | คำตอบจริง |
|---|---|---|
| เทคโนโลยีใหม่ ผู้ตรวจต้องเล็งอะไรก่อน | cost / speed / UI / productivity | security / integrity / privacy |
| IoT เก็บข้อมูลเยอะ ความเสี่ยงหลัก | ต้นทุน / แบรนด์ / ติดตั้งง่าย | การเก็บข้อมูลมากขึ้น + ความเป็นส่วนตัว |
| นิยาม RPA | แทนแรงงานทั้งหมด / ตัดสินใจซับซ้อน | อัตโนมัติงานกฎตายตัวที่ทำซ้ำ |
| ตัวเลือกมีคำว่า “ทั้งหมด/เต็มรูปแบบ/ซับซ้อน” | มักดูเป็นคำตอบหลัก | มักเป็นตัวเว่อร์ที่วางลวง |
| BYOD คืออะไร | framework (NIST/COSO/CIS) | นโยบายกำหนดแนวใช้อุปกรณ์ส่วนตัว |
| วัดสภาพแวดล้อมจริยธรรม | งบการเงิน / framework ความเสี่ยง | survey พนักงาน / code + training |
| น้ำหนักของจริยธรรมในการเลือกงาน | สำคัญที่สุด / เรื่องเล็กน้อย | เป็นปัจจัยหนึ่งในหลายปัจจัย |
| ใครทำการประสานงานตรวจจริงๆ | board / ผู้สอบบัญชีภายนอก | CAE |
| ใครกำกับดูแลผู้สอบบัญชีภายนอก | CAE | board |
| outsource งานตรวจแล้ว | โอนการกำกับ/ความรับผิดชอบออกไปได้ | องค์กรยังคงรับผิดชอบสุดท้าย |
| เกณฑ์ CAE พิจารณา น้อยที่สุด ในการพิงงาน | independence / competence | ความสมเหตุสมผลของค่าจ้าง |
| เกณฑ์ สำคัญที่สุด ในการพิงงาน | ค่าจ้าง / ขนาดทีม / สายบังคับบัญชา | objectivity + independence + competence |
| วิธีตรวจความน่าเชื่อของงานเขาตรงที่สุด | ดูใบรับรอง / คำชื่นชม | ดู methodology + ทดสอบ + หลักฐาน |
| สองหน่วยวางแผนตรวจเรื่องเดียวกัน | ทำเดี่ยว / ยกเลิก / ขอ workpaper | รวมกิจกรรม + แบ่งปันผล |
| เครื่องมือประสานที่ดีที่สุด | ดูผังองค์กร / เข้าประชุม | assurance map / shared risk register |
| โจทย์ “ข้อใดไม่ใช่” เรื่องประสาน | การแบ่งปันผลละเมิดข้อตกลง | (นั่นคือตัวเท็จ — แบ่งปันคือหัวใจ) |
สิ่งที่จดสำหรับวันสอบ
- แหล่งงานตรวจ ไหลมาหลายท่อ: audit universe · management request (คำขอสำคัญ board อนุมัติ) · กฎหมาย/ข้อบังคับ · whistleblower · ผลตรวจภายนอก · Topical Requirements · การประเมินการควบคุม
- เทคโนโลยีใหม่ → เล็ง security ก่อนเสมอ — ตัด cost/speed/UI/productivity/ความนิยม/แบรนด์ทิ้ง ถ้ามีตัวเดียวพูดเรื่องความปลอดภัย/ความถูกต้อง/ความเป็นส่วนตัว มันชนะ
- นิยามเทคโนโลยีต้อง “พอดี” — RPA = งานกฎซ้ำ (ไม่ใช่แทนคนทั้งหมด) · BYOD = นโยบายอุปกรณ์ส่วนตัว (ไม่ใช่ framework) · smart machines = ทำงานเองไม่ต้องมีคน · IoT = sensor เก็บข้อมูล · คำว่า ทั้งหมด/เต็ม/ซับซ้อน = ธงแดงตัวเว่อร์
- วัดจริยธรรม = ถามคน (survey / code + training) ไม่ใช่ดูงบ · และมันเป็น ปัจจัยหนึ่ง ไม่ใช่สำคัญที่สุดหรือเล็กน้อย
- CAE ประสาน · board กำกับ — ห้ามสลับ · outsource ไม่โอนการกำกับหรือความรับผิดชอบสุดท้าย · โจทย์ “ข้อใดเท็จ” มักเป็นตัวที่ยกการกำกับของ board ไปให้ CAE
- พิงงานคนอื่น = ดู objectivity/independence/competence/due professional care · ตรวจตรงๆ ที่ methodology + ทดสอบ + หลักฐาน · ค่าจ้างคือเกณฑ์สำคัญน้อยสุด (ในโจทย์ “น้อยที่สุด” ค่าจ้างคือคำตอบ)
- ประสานที่ดีที่สุด = combine + share ผ่าน assurance map / shared risk register · ประสาน nature/extent/timing เชิงรุก · ตัดทำเดี่ยว/ยกเลิก/แค่เก็บเอกสารทิ้ง
- Three Lines Model: แนวแรก=จัดการความเสี่ยงตรง · แนวสอง=compliance สนับสนุน+ท้าทาย · แนวสาม=internal audit ให้ความเชื่อมั่นอย่างอิสระ รายงาน board
จบเรื่องวางแผนกับประสานงานแล้ว เราขยับไปกองที่สามของ Part นี้ — คุณภาพของกองเอง ตอนหน้าเจาะ QAIP เต็มๆ ว่าใครเป็นเจ้าของโปรแกรม ประเมินภายในกับ external assessment ต่างกันยังไง และทำไมต้องมีคนนอกมาตรวจทุกห้าปี ตอนถัดไป: QAIP โปรแกรมคุณภาพของกอง
อ้างอิง: Gleim CIA Review (2026), Part 3 · IIA Global Internal Audit Standards (2024)