987 คำ
5 นาที
CIA Series ตอนที่ 43 : P3 - ใครตรวจผู้ตรวจ: QAIP
สารบัญ

ลองนึกภาพกองผู้ตรวจการที่ทั้งปีเดินสายไปตรวจทุกหน่วยงานในอาณาจักร — เข้าคลัง ตรวจบัญชี ไล่ดูสัญญาจัดซื้อ ชี้ว่าตรงไหนหละหลวม ตรงไหนต้องรัดกุมขึ้น เป็นกองที่ใครๆ ก็เกรงใจ เพราะมีอำนาจชี้ความผิดพลาดของคนอื่น

แล้ววันหนึ่งเถ้าแก่ก็ถามคำถามที่ทำเอาทั้งกองเงียบ: “แล้วใครตรวจกองของแก?”

เอาตรงๆ คำถามนี้แหละคือหัวใจของทั้งตอน กองที่มีหน้าที่ให้ความเชื่อมั่น (assurance) กับคนทั้งองค์กร ถ้าตัวเองทำงานหละหลวมขึ้นมา ใครจะจับได้ แล้วจับได้ยังไงให้คนอื่นเชื่อถือ

คำตอบคือกลไกชื่อ quality assurance and improvement program (QAIP) — โปรแกรมที่ผู้ตรวจเอาไว้ตรวจตัวเอง และตรงนี้แหละที่ข้อสอบ Part 3 ชอบวางกับดักเรื่อง “ใครทำอะไร บ่อยแค่ไหน ใครทำได้บ้าง” มาหลอกให้เราสับสน

ตอนที่แล้ว (ตอนที่ 42) เราไล่ว่างานตรวจมาจากไหนบ้าง ตั้งแต่ audit universe คำขอผู้บริหาร กฎหมาย whistleblower ไปจนถึงเทคโนโลยีใหม่ที่ต้องเล็ง security ก่อน และเมื่อในองค์กรมีคนตรวจหลายเจ้า ต้องประสานกันผ่าน assurance map บน Three Lines Model โดยพิงงานคนอื่นได้เมื่อประเมิน objectivity กับ competence ตอนนี้เราเข้ากองที่สาม — คุณภาพของกองผู้ตรวจเอง

โครงของบท#

  • QAIP คืออะไร และทำไม CAE ต้องเป็นเจ้าของโปรแกรมนี้เสมอ — ไม่ใช่ board ไม่ใช่คนนอก
  • แยก internal assessment (ongoing monitoring + periodic self-assessment) ออกจาก external assessment ให้ขาด
  • นาฬิกา 5 ปี ของ external assessment กับทางลัดเดียวที่ใช้แทนได้: self-assessment ที่มีคนนอกรับรอง
  • ใครถึงจะ “อิสระพอ” ที่จะมาประเมินกองผู้ตรวจการได้ — และใครที่ดูเหมือนได้แต่จริงๆ ไม่ได้
  • ผล QAIP ต้องรายงานให้ board และ senior management ยังไง บ่อยแค่ไหน

เจ้าของโปรแกรมคือ CAE เสมอ — ไม่ใช่สภา#

เริ่มจากคำที่ต้องแม่นก่อน หัวหน้ากองผู้ตรวจการเรียกว่า chief audit executive (CAE) และมาตรฐานพูดชัดว่า คนนี้แหละ ที่ต้อง develop, implement, and maintain โปรแกรมคุณภาพ QAIP ให้ครอบคลุมทุกด้านของ internal audit function (คืองานตรวจสอบภายในทั้งหมดของกอง ไม่ใช่ activity แยกๆ)

พูดง่ายๆ QAIP คือ “ระบบตรวจสุขภาพตัวเอง” ของกองผู้ตรวจการ ออกแบบมาให้ประเมินสองเรื่อง: (1) กองทำงานสอดคล้องกับ the Standards แค่ไหน และ (2) กองบรรลุเป้าหมายผลงานที่ตั้งไว้ไหม พร้อมชี้จุดที่ปรับปรุงได้ และตรงนี้แหละที่ข้อสอบชอบเล่นมาก: ใครเป็นเจ้าของ

ลองนึกภาพร้านอาหารที่เถ้าแก่จ้างเชฟใหญ่มาคุมครัว เชฟใหญ่นี่แหละที่ต้องสร้างระบบตรวจความสะอาดและคุณภาพจานอาหารเอง เถ้าแก่จะรับรายงานและกำกับดูแลอยู่ห่างๆ แต่ไม่ได้ลงมือทำ checklist ตรวจครัวเอง — ในโลกของเรา เชฟใหญ่คือ CAE และเถ้าแก่คือ board

มุมเถ้าแก่/สภา: สภามีหน้าที่ oversee และรับผล ของ QAIP — กำกับดูแลว่ากองผู้ตรวจการน่าเชื่อถือจริงไหม แต่ไม่ได้เป็นคน “สร้างหรือรันโปรแกรม” เอง ที่ต้องแยกชัดเพราะถ้าสภาลงมือทำเอง เส้นระหว่างผู้กำกับดูแลกับผู้ปฏิบัติก็เบลอทันที เถ้าแก่ที่ฉลาดอยากให้ CAE เป็นเจ้าของความรับผิดชอบชัดๆ เวลามีปัญหาจะได้รู้ว่าต้องถามใคร

มุมผู้ตรวจ (คนสอบ): พอโจทย์ถามว่า “ใคร develop / maintain / รับผิดชอบ QAIP” ตอบ CAE ทุกครั้ง ไม่มีข้อยกเว้น ข้อสอบชอบเอาตำแหน่งที่ฟังดูมีอำนาจมาล่อ อย่าหลง

⚠️ กับดัก: ตัวล่อยอดฮิตของหมวดนี้คือเอา “เจ้าของ” ปลอมมาวาง จำไว้ว่าทั้งหมดตอบผิด:

  • board / audit committee เป็นเจ้าของ — ผิด สภาแค่กำกับดูแลและรับผล ไม่ได้สร้างหรือรันโปรแกรม
  • senior management เป็นผู้รับผิดชอบ — ผิด ผู้บริหารแค่รับการสื่อสาร ไม่ได้เป็นเจ้าของ
  • external auditor / ผู้ให้บริการภายนอก เป็นเจ้าของ — ผิด คนนอก ทำ external assessment ได้ แต่ไม่มีวันเป็นเจ้าของหรือ maintain โปรแกรม
  • โยน chief compliance officer / CFO เข้ามาเป็นตัวเลือกที่ฟังดูมีอำนาจ — ผิดเหมือนกัน

⚠️ กับดัก: อีกมุมที่แนบเนียนกว่า — โจทย์ถามหน้าที่ หลัก (primary) ของ CAE ต่อ QAIP แล้วเอาตัวเลือกที่ “จริงแต่รอง” มาล่อ เช่น “หารือกับ board” หรือ “กำหนดขอบเขตของ external assessment” สองอย่างนี้ CAE ทำจริง แต่ไม่ใช่หน้าที่หลัก หน้าที่หลักคือ develop / implement / maintain ตัวโปรแกรม อย่าไปตอบตัวรอง

สองโลกที่ต้องแยกให้ขาด: ประเมินภายใน vs ประเมินภายนอก#

QAIP มีการประเมินสองชนิด และนี่แหละเส้นแบ่งใหญ่ที่สุดของทั้งตอน ต้องแยกให้ขาดเหมือนน้ำกับน้ำมัน

ชนิดแรกคือ internal assessment — คนในกองประเมินกันเอง แบ่งเป็นสองส่วนย่อยที่ทำงานคู่กัน:

  • ongoing monitoring (การเฝ้าติดตามต่อเนื่อง) — ทำตลอดทั้งปีแบบไม่หยุด ทุกงานตรวจ (engagement) ถูกไล่ดูว่าผ่านเกณฑ์คุณภาพไหม ตั้งแต่ขั้นวางแผน กำกับ ไปจนถึงรีวิว มีการเก็บ feedback จากหน่วยงานที่ถูกตรวจ ระดับที่มองคือ ระดับ engagement เน้นการรีวิวรายงาน เป็นงานประจำวันที่ฝังอยู่ในทุก audit
  • periodic self-assessment (การประเมินตนเองเป็นระยะ) — อันนี้ครอบคลุมและลึกกว่า เป็นการถอยมามองทั้งกองแบบองค์รวมว่าสอดคล้องกับ the Standards ทั้งชุดแค่ไหน methodology ดีพอไหม กองสนับสนุนเป้าหมายองค์กรได้ดีแค่ไหน คนที่ทำมักเป็นผู้ตรวจอาวุโส หรือคนที่มีวุฒิ/ประสบการณ์กับ the Standards สูง

ชนิดที่สองคือ external assessment — คนนอกที่มีคุณสมบัติและ เป็นอิสระ จากองค์กร เข้ามาประเมิน อย่างน้อยทุก 5 ปี

ลองนึกอุปมาแบบนี้: ongoing monitoring เหมือนคนครัวที่ชิมทุกจานก่อนเสิร์ฟตลอดกะ ส่วน periodic self-assessment เหมือนวันที่หัวหน้าครัวปิดร้านครึ่งวันมานั่งรื้อทั้งระบบครัวดูว่ามาตรฐานยังครบไหม ทั้งสองอย่างยังเป็นคนใน ส่วน external assessment คือวันที่เชิญเชฟรับเชิญจากนอกร้านที่ไม่เคยรู้จักกันมาให้คะแนน

มุมเถ้าแก่/สภา: ทำไมต้องมีทั้งในและนอก เพราะคนในตรวจกันเองได้ถี่และถูกก็จริง แต่ยังไงก็มีจุดบอด เถ้าแก่เลยยอมจ่ายให้คนนอกมาดูเป็นระยะ — มุมมองคนนอกที่ไม่มีส่วนได้เสียนี่แหละที่ทำให้สภาเชื่อได้ว่ากองผู้ตรวจการไม่ได้เข้าข้างตัวเอง

มุมผู้ตรวจ (คนสอบ): ทริกคือไล่สองคำถามเสมอ — ใครทำ และ ขอบเขตแค่ไหน ถ้าคนในทำ = internal (สองส่วนคือ ongoing monitoring + periodic self-assessment) ถ้าคนนอกที่มีคุณสมบัติทำ อย่างน้อยทุก 5 ปี = external ตัวเลือกไหนที่ จับคู่ผิดสาย ให้ตัดทิ้งทันที

⚠️ กับดัก: ข้อสอบชอบเอาคุณสมบัติของสองฝั่งมาสลับป้ายให้เราหลง จำคู่ที่ “ไขว้สาย” พวกนี้ว่าผิดหมด:

  • external assessment ในรูปแบบ ongoing monitoring” — ผิด ongoing monitoring เป็น internal เสมอ external ไม่มีวันเป็น ongoing monitoring
  • periodic self-assessment โดยผู้ประเมินอิสระจากภายนอก” — ผิด self-assessment คือของภายใน ส่วนความเป็นอิสระ/คนนอกเป็นเรื่องของ external
  • อธิบาย ongoing monitoring ว่าเป็น “การรีวิวแบบครอบคลุม/องค์รวม” — ผิด นั่นคือ periodic self-assessment ต่างหาก ongoing monitoring เน้นระดับ engagement และการรีวิวรายงาน
  • เอาคนนอกที่ใช้ the Standards เป็นเกณฑ์มาติดป้ายว่า “internal self-assessment” — ผิด คนนอกทำ = external

⚠️ กับดัก: โจทย์ถาม “สองส่วนที่สัมพันธ์กันของ internal assessment คืออะไร” คำตอบคือ ongoing monitoring คู่กับ periodic self-assessment เท่านั้น ไม่ใช่ “การกำกับ (supervision)” และไม่ใช่ “external validation” — สองตัวหลังนี้เอามาล่อบ่อย

นาฬิกา 5 ปี กับทางออกฉุกเฉินทางเดียว#

ทีนี้มาที่ตัวเลขที่ต้องจำแม่นที่สุด: external assessment ต้องทำ อย่างน้อยทุก 5 ปี จำเจตนาไว้ว่า “รอบใหญ่ที่คนนอกมาดู คือทุกห้าปีเป็นอย่างช้า” ไม่ต้องท่องเลข Standard ก็ได้ แต่เลข 5 นี้พลาดไม่ได้เด็ดขาด

แล้วถ้าปีที่ครบกำหนด กองยังไม่พร้อมจ้างทีมนอกเต็มรูปแบบล่ะ มีทางออกไหม — มี แต่มีทางเดียว และมีเงื่อนไขบังคับติดมาด้วย: กองทำ self-assessment เองก็ได้ แต่ต้องให้ผู้ประเมินภายนอกที่มีคุณสมบัติและเป็นอิสระมารับรอง (independent validation) พอขาดการรับรองจากคนนอกเมื่อไหร่ อันนั้นใช้แทน external assessment ไม่ได้เด็ดขาด

ลองคิดดูนะครับ มันเหมือนการตรวจสภาพรถ — ปกติต้องเข้าศูนย์ให้ช่างนอกเช็คให้ครบ แต่ถ้าปีนี้ขอตรวจเองที่บ้าน ก็ยังต้องมีช่างที่ได้รับใบอนุญาตมาเซ็นรับรองผลอยู่ดี ไม่งั้นใบตรวจไม่มีน้ำหนัก

มุมเถ้าแก่/สภา: เรื่องนี้เจ็บกระเป๋าเถ้าแก่ตรงที่ ถ้าปล่อยเลย 5 ปีไปเรื่อยๆ หรือให้กองประเมินตัวเองแล้วจบโดยไม่มีคนนอกรับรอง วันที่เกิดวิกฤตขึ้นมา คำรับรองของกองผู้ตรวจการก็จะไม่มีใครเชื่อ — เหมือนใบรับประกันที่ตัวเองออกให้ตัวเอง แล้วมันมีจังหวะที่เถ้าแก่กับ CAE ควรเร่งให้คนนอกมาดูเร็วกว่า 5 ปี ด้วยซ้ำ เช่น เปลี่ยนผู้นำกอง คนลาออกยกชุด หรือเปลี่ยน methodology ครั้งใหญ่ — เหตุพวกนี้คือสัญญาณให้รีบประเมิน ไม่ใช่ยืดออกไป

มุมผู้ตรวจ (คนสอบ): ยึดที่ตัวเลขและทางออกฉุกเฉินไว้แน่นๆ — external = อย่างน้อยทุก 5 ปี, ทางแทนที่ถูกกฎมีทางเดียวคือ self-assessment + independent validation, และถ้าโจทย์โยนเหตุการณ์เปลี่ยนแปลง (คนลาออกเยอะ/เปลี่ยนผู้นำ) เข้ามา คำตอบคือ “ทำเร็วขึ้น” ไม่ใช่ “เลื่อนออกไป”

⚠️ กับดัก: ข้อสอบเล่นกับตัวเลขและเงื่อนไขแบบนี้:

  • รอบเวลาผิด — “external ทุก 3 ปี”, “internal ทุก 3/5 ปี”, “external ภายใน 10 ปี” จำไว้เลขของ external คือ 5 ปี
  • เสนอ self-assessment ที่ ไม่มี คนนอกรับรอง มาเป็นตัวแทนที่ถูกกฎ — ผิด การรับรองโดยผู้ประเมินภายนอกคือเงื่อนไข บังคับ
  • “ใช้ internal assessment แทนไปเลยเพราะถูกกว่า” — ผิด internal ไม่มีวันแทน external ได้
  • อ้างว่ากองทำงาน “สอดคล้องกับ the Standards” ได้หลังทำแค่ internal review — ผิด การอ้างครั้งแรกต้องมี external assessment ที่เสร็จภายใน 5 ปีที่ผ่านมาหนุนหลัง
  • external เลยกำหนดมา 6 ปีแล้ว — คำตอบคือแนะให้ CAE จัด external assessment โดยเร็ว ไม่ใช่ปล่อยผ่าน

ใครถึงจะ “อิสระพอ” ที่จะมาตรวจกองผู้ตรวจการ#

สมมติว่าถึงเวลาต้องหาคนนอกมาประเมินแล้ว คำถามต่อไปคือ ใครถึงจะ “อิสระพอ”? หัวใจคือ ผู้ประเมินภายนอก (รวมถึงคนที่มารับรอง self-assessment) ต้อง ไม่มีความสัมพันธ์ทั้งในอดีตและปัจจุบัน กับองค์กร ไม่มี conflict of interest ทั้งจริงและที่ดูเหมือน (in fact or appearance)

ตรงนี้แหละที่ข้อสอบวางกับดักหนาที่สุด เพราะมีหลายคนที่ ดูเหมือน จะเป็นคนนอก แต่จริงๆ แล้วความเป็นอิสระ (independence) โดนกระทบไปแล้ว

มุมเถ้าแก่/สภา: เถ้าแก่อยากได้คำตัดสินที่เชื่อได้ ก็ต้องยอมจ่ายหาคนที่ไม่มีส่วนได้เสียจริงๆ ลองคิดดูนะครับ ถ้าเอาคนที่เพิ่งลาออกจากกองไปเมื่อสองปีก่อนกลับมาประเมิน หรือเอาผู้สอบบัญชีที่ตรวจงบการเงินให้บริษัทอยู่มาทำ ผลที่ออกมามันก็มีคนแคลงใจได้เสมอ — ความเป็นอิสระนี่แหละที่ทำให้ผลประเมินมีน้ำหนักต่อสภา

มุมผู้ตรวจ (คนสอบ): ทริกคือไล่เช็คผู้สมัครแต่ละคนว่ามี “สาย” อะไรผูกกับองค์กรไหม ถ้ามีความสัมพันธ์ในอดีตหรือปัจจุบัน = ความเป็นอิสระถูกกระทบ = ตัดทิ้ง ส่วนคุณสมบัติที่ ควรมี คือความรู้ในอุตสาหกรรมขององค์กร กับประสบการณ์ระดับผู้นำงานตรวจ (เคยเป็น CAE หรือเทียบเท่า) — สองอย่างนี้เป็นข้อดี ไม่ใช่ข้อเสีย

⚠️ กับดัก: ข้อสอบชอบเอาคนที่ “ดูเป็นกลาง” มาล่อ จำไว้ว่าพวกนี้ ความเป็นอิสระถูกกระทบ ตอบไม่ได้:

  • อดีตพนักงานของกองผู้ตรวจการเอง — bias ที่ค้างอยู่ทำให้ไม่อิสระ นี่คือตัวล่ออันดับหนึ่ง
  • คนในทีมตรวจปัจจุบัน หรือผู้จัดการ/กรรมการของบริษัท มาเป็นผู้ประเมิน — ไม่อิสระชัดๆ
  • ผู้สอบบัญชีงบการเงินภายนอกที่ให้บริการอยู่ในปัจจุบัน — มี conflict of interest ในตัว
  • peer review แลกกันระหว่างสององค์กร — ไม่พอ ต้องมีอย่างน้อย สาม องค์กรที่ไม่เกี่ยวกันหมุนเวียนกัน

⚠️ กับดัก: อีกด้านคือเอาคุณสมบัติที่จริงๆ ดี มาแต่งให้ดูเหมือนความเสี่ยง — ความคุ้นเคยกับอุตสาหกรรม และประสบการณ์ในอุตสาหกรรมใกล้เคียง เป็นสิ่งที่ พึงประสงค์ ไม่ใช่ข้อบกพร่อง ส่วนเรื่องระยะทางและค่าใช้จ่าย เป็นแค่ปัจจัยรอง ไม่ใช่ตัวตัดสิทธิ์ และถ้าถามว่า “คุณสมบัติที่พึงประสงค์ที่สุด” คือ ประสบการณ์ระดับ CAE หรือผู้นำงานตรวจอาวุโส ไม่ใช่วุฒิด้านสืบสวนทุจริตหรือทักษะ IT audit

รายงานผลให้ใคร บ่อยแค่ไหน#

ปิดท้ายที่การสื่อสารผล เพราะ QAIP ที่ทำแล้วไม่มีใครเห็นก็ไร้ค่า ผลของ QAIP ต้องรายงานให้ board และ senior management เพื่อให้สองฝ่ายนี้รู้ตลอดว่ากองผู้ตรวจการยังทำงานได้ตามระดับความเป็นวิชาชีพที่ควรจะเป็นอยู่ไหม

จังหวะการรายงานมีสองจังหวะที่ต้องจำแยกกัน: ผล internal assessment ต้องสื่อสารให้ board และ senior management อย่างน้อยปีละครั้ง ส่วนผล external assessment ต้องรายงาน เมื่อทำเสร็จ และผลฉบับสมบูรณ์ของ external assessment (หรือ self-assessment ที่ผ่านการรับรอง) ต้องส่งตรงจากผู้ประเมินถึง board เอง

สิ่งที่ CAE ต้องใส่ในการสื่อสารมีแกนหลักสามอย่าง: ขอบเขต ความถี่ และผลของการประเมินทั้งภายในและภายนอก, action plan ที่จะแก้จุดบกพร่องและโอกาสปรับปรุง, และความคืบหน้าของ action ที่ตกลงกันไว้ ตรงนี้แหละที่ไปเชื่อมกับเรื่องการเปิดเผยเมื่อกองทำงานไม่สอดคล้องกับ the Standards — เดี๋ยวตอน /posts/cia-p3-44-nonconformance-kpis/ จะลงลึกว่าเมื่อเจอ nonconformance ต้องเปิดเผยยังไง

มุมเถ้าแก่/สภา: สภาคือปลายทางที่ต้อง “เห็นผลจริงจากปากคนนอก” ไม่ใช่ฟังแค่กองผู้ตรวจการสรุปให้ตัวเอง การที่ผล external ส่งตรงจากผู้ประเมินถึงสภาเลย ก็คือกลไกที่ปิดช่องไม่ให้ผลถูกกรองหรือแต่งก่อนถึงมือคนกำกับดูแล

มุมผู้ตรวจ (คนสอบ): จำจังหวะให้แม่น — internal อย่างน้อยปีละครั้ง, external เมื่อเสร็จ ข้อสอบชอบสลับสองอันนี้ หรือเอา “รายงานเฉพาะตอนมีปัญหา” มาล่อ

ตารางกับดักรวม#

สถานการณ์คำตอบหลอกคำตอบจริง
ใคร develop / maintain / เป็นเจ้าของ QAIPboard / audit committee / senior management / external auditor / CFOCAE เสมอ ทุกครั้ง
หน้าที่ หลัก ของ CAE ต่อ QAIPหารือกับ board / กำหนดขอบเขต external assessment (จริงแต่รอง)develop, implement, maintain ตัวโปรแกรม
สองส่วนของ internal assessmentsupervision / external validationongoing monitoring + periodic self-assessment
อธิบาย ongoing monitoringการรีวิวแบบครอบคลุม/องค์รวมทั้งกองต่อเนื่อง ระดับ engagement เน้นรีวิวรายงาน
external assessment ทำบ่อยแค่ไหนทุก 3 ปี / ภายใน 10 ปีอย่างน้อยทุก 5 ปี
ใช้อะไรแทน external assessment ได้internal assessment / self-assessment เปล่าๆ (ไม่มีคนรับรอง)self-assessment ที่ผู้ประเมินภายนอกอิสระรับรองเท่านั้น
คนลาออกยกชุด / เปลี่ยนผู้นำกองเลื่อน external assessment ออกไปก่อนเร่งทำ external assessment ให้เร็วขึ้น
ใครทำ external assessment ได้อดีตพนักงานกอง / ทีมตรวจปัจจุบัน / ผู้สอบบัญชีปัจจุบัน / peer review สององค์กรผู้ประเมินภายนอกที่ไม่มี conflict of interest ทั้งจริงและที่ดูเหมือน
คุณสมบัติผู้ประเมินที่พึงประสงค์ที่สุดวุฒิสืบสวนทุจริต / ทักษะ IT auditประสบการณ์ระดับ CAE หรือผู้นำงานตรวจอาวุโส
รายงานผล QAIP ให้ใคร บ่อยแค่ไหนรายงานเฉพาะตอนมีปัญหาinternal อย่างน้อยปีละครั้ง, external เมื่อเสร็จ ส่งตรงถึง board

สิ่งที่จดสำหรับวันสอบ#

  • CAE เป็นเจ้าของ QAIP เสมอ — develop / implement / maintain; board กับ senior management แค่กำกับดูแลและรับผล; คนนอก ทำ external ได้ แต่ไม่เป็นเจ้าของ
  • หน้าที่ หลัก ของ CAE = สร้างและ maintain โปรแกรม; “หารือ board / กำหนดขอบเขต external” เป็นตัวรอง อย่าตอบ
  • internal = คนใน = ongoing monitoring (ต่อเนื่อง ระดับ engagement) + periodic self-assessment (องค์รวม ลึกกว่า); external = คนนอกอิสระ อย่างน้อยทุก 5 ปี — ระวังตัวเลือกที่ไขว้สาย
  • 5 ปี คือเลขของ external; ทางแทนเดียวที่ถูกกฎ = self-assessment + independent validation จากคนนอก (ไม่มีคนรับรอง = ใช้ไม่ได้)
  • เหตุเปลี่ยนแปลง (คนลาออกเยอะ / เปลี่ยนผู้นำ / เปลี่ยน methodology) = ทำ external เร็วขึ้น ไม่ใช่เลื่อน
  • ผู้ประเมินภายนอกต้อง ไม่มีสายผูกกับองค์กร ทั้งอดีตและปัจจุบัน — ตัดอดีตพนักงาน, ผู้สอบบัญชีปัจจุบัน, peer review สององค์กร; ความรู้อุตสาหกรรมและประสบการณ์ระดับ CAE คือข้อดี
  • รายงาน: internal อย่างน้อยปีละครั้ง, external เมื่อเสร็จและส่งตรงจากผู้ประเมินถึง board

รู้จัก QAIP แล้ว คำถามที่ตามมาทันทีคือ ถ้าผลประเมินออกมาว่ากอง “ไม่ conform” ล่ะ จะเปิดเผยยังไง แจ้งใคร ตอนหน้าเราลงเรื่อง disclosure of nonconformance บวกวิธีวัด KPI ของกองเองให้ครบทุกตระกูล เจอกันตอนถัดไปครับ ตอนถัดไป: nonconformance และ KPI

อ้างอิง: Gleim CIA Review (2026), Part 3 · IIA Global Internal Audit Standards (2024)