1362 คำ
7 นาที
CIA Series ตอนที่ 44 : P3 - เมื่อกองไม่ผ่านมาตรฐาน + KPI ของกองเอง
สารบัญ

ลองนึกภาพเช้าวันหนึ่งในอาณาจักรเถ้าแก่ ผู้ประเมินจากภายนอกที่มาตรวจ “กองผู้ตรวจการ” ของบ้านนี้ทุกห้าปี ส่งซองผลตรวจมาถึงมือ CAE (หัวหน้ากอง) เปิดออกมาแล้วบรรทัดที่ตาไปสะดุดคือคำว่า nonconformance กองผู้ตรวจการของเราเองนี่แหละ สอบไม่ผ่านมาตรฐานในบางเรื่อง

เอาตรงๆ นาทีนั้นสัญชาตญาณของคนส่วนใหญ่คือปิดซอง หายใจลึกๆ แล้วคิดว่า “เดี๋ยวค่อยหาทางแก้เงียบๆ ก่อน แล้วรอบหน้าค่อยว่ากัน” อ้าว แล้วนั่นแหละคือหลุมที่ข้อสอบ CIA Part 3 ขุดรอไว้พอดี

ตอนนี้ผมเลยแยกคำถามในหัวเป็นสองชั้น ชั้นแรก กองที่มีหน้าที่ตรวจคนอื่น พอตัวเองไม่ผ่านนี่ต้องบอกใคร บอกยังไง บอกเมื่อไหร่ ชั้นสอง แล้วกองจะรู้ได้ยังไงว่าตัวเองทำงาน “ดี” วัดด้วยอะไรถึงจะไม่ใช่แค่การนับจำนวนงานที่ปั๊มออกมา

ตอนที่แล้ว (ตอนที่ 43) เราเจาะ QAIP กันไป ว่า CAE เป็นเจ้าของโปรแกรมเสมอ แยก internal assessment (ongoing monitoring กับ periodic self-assessment) ออกจาก external assessment ที่ต้องมีคนนอกอิสระมาตรวจอย่างน้อยทุกห้าปี ตอนนี้เราต่อยอดตรงๆ — ถ้าผลประเมินตัดสินว่ากอง “ไม่ conform” ขึ้นมาจริงๆ จะเปิดเผยยังไง แล้ววันธรรมดาที่ไม่มีคนนอกมาตรวจ กองจะรู้ได้ไงว่าตัวเองทำงานดี

โครงของบท#

  • ระดับผลตรวจจากภายนอก (external assessment) มีสี่ขั้น — nonconformance คือขั้นล่างสุด
  • เจอ nonconformance แล้ว หน้าที่แรกคือ document + communicate ไม่ใช่ปิด ไม่ใช่รีบแก้
  • แจ้งใคร — สภา (board) และ senior management ทั้งคู่ พร้อมเนื้อหาครบชุด
  • KPI ของกองเอง: แยก การนับ (output/input) ออกจาก การวัดผลลัพธ์ (outcome เทียบเป้า)
  • metrics 6 ตระกูลที่ CAE เอาไปทำ dashboard — financial, operational, quality, productivity, efficiency, effectiveness
  • จับคำในโจทย์ให้แม่น: timeliness, plan completion, effectiveness, efficiency — ตัวไหนวัดตัวนั้น

กองที่ตรวจคนอื่น ก็ต้องถูกตรวจ — และผลอาจออกมาว่า “ตก”#

ก่อนจะไปเรื่องเปิดเผย ต้องเข้าใจก่อนว่า “ไม่ conform” มันมีระดับนะ ไม่ใช่ผ่าน/ตกแบบขาวดำ ผลของ external quality assessment (การประเมินคุณภาพจากภายนอก ที่ควรทำอย่างน้อยทุกห้าปี) ให้คะแนนความสอดคล้องกับหลักการของ the Standards เป็นสี่ระดับ

  • Fully conforms — ผ่านเต็ม สอดคล้องครบทุกหลักการ
  • Generally conforms — โดยทั่วไปถือว่าน่าพอใจ มีจุดที่ยังไม่ครบบ้าง แต่ยังยึด Purpose ของ internal auditing ได้
  • Partially conforms — มีข้อบกพร่องที่มีนัยสำคัญ ผลของความเบี่ยงเบนกระทบจริงจนต้องให้ CAE เข้ามาจัดการ และทำให้ CAE ใช้ประโยคว่า “งานทำในความสอดคล้องกับ the Standards” ในรายงานไม่ได้อีก
  • Nonconformance — ขั้นล่างสุด แปลว่าข้อบกพร่องหนักถึงขั้นบั่นทอนความสามารถของกองในการทำหน้าที่ในพื้นที่สำคัญ

จำเจตนาของสเกลนี้ไว้ก็พอ ไม่ต้องท่องว่ากี่หลักการ ที่ต้องแม่นคือ nonconformance แบบที่ตอนนี้พูดถึง หมายถึงภาพรวมของกองทั้งกอง (internal audit function) ไม่ใช่ข้อบกพร่องของงานตรวจชิ้นใดชิ้นหนึ่ง เส้นแบ่งตรงนี้สำคัญ เพราะมันกำหนดว่าใครต้องได้ยินเรื่องนี้

มุมเถ้าแก่/สภา: ทำไมสภาถึงต้องแคร์ระดับพวกนี้ ก็เพราะกองผู้ตรวจการคือหนึ่งในเสาหลักของ governance ทั้งบ้าน ถ้าเสาต้นนี้เอียงโดยที่เจ้าของบ้านไม่รู้ วันที่เกิดเรื่องจริง สภาจะไม่มีทางรู้เลยว่ารายงานที่เคยเชื่อมาตลอดมันวางอยู่บนพื้นที่กำลังทรุด การรู้ระดับความสอดคล้องก็คือการรู้ว่า “ยามที่เราจ้างมาเฝ้าคลัง ตัวเขาเองแข็งแรงแค่ไหน”

มุมผู้ตรวจ (คนสอบ): โจทย์ชอบให้สถานการณ์ว่า external assessment ชี้ว่าพลาดหลายมาตรฐาน แล้วถามว่า ขั้นแรกสุด (FIRST action) ทำอะไร ตรงนี้คือจุดที่ต้องระวังที่สุด เพราะตัวเลือกที่ “ดูรับผิดชอบ” ทั้งหลายมันมักจะผิด

เจอไม่ผ่าน หน้าที่แรกไม่ใช่ “แก้” ไม่ใช่ “ปิด” — คือ “แจ้ง”#

หัวใจของ subunit นี้สั้นมาก พอระบุได้ว่ามี nonconformance with the Standards สิ่งที่ CAE ต้องทำก่อนอื่นคือ document และ communicate บันทึกไว้แล้วสื่อสารออกไป โดยเนื้อหาต้องมีคำอธิบายลักษณะของความไม่สอดคล้อง, การกระทำทดแทนที่ทำไป (alternative actions), ผลของการกระทำนั้น, แล้วก็เหตุผลว่าทำไมถึงไม่สอดคล้อง

สังเกตคำว่า and ให้ดี ไม่ใช่ document เฉยๆ แล้วจบ กับดักตัวโหดที่สุดของทั้งตอนก็วางอยู่ตรงนี้แหละ

⚠️ กับดัก: ตัวเลือกที่เขียนทำนอง “บันทึก finding ไว้ แต่ไม่ต้องรายงาน senior management” ถูกแอบใส่ไว้ในเกือบทุกข้อของหมวดนี้ มันฟังดูสุขุม รอบคอบ ไม่โวยวาย — แต่มันผิดอัตโนมัติ เอาไว้ตัดทิ้งได้เลย เจอ document-แต่-ไม่-report เมื่อไหร่ ตัดทันที

แล้วโจทย์ก็จะพยายามทำให้การ “เก็บเงียบ” ฟังดูมีเหตุผลด้วยข้ออ้างสารพัด ลองสังเกต pattern พวกนี้ดู ทุกอันคือของหลอก:

  • “มันกระทบแค่งานตรวจชิ้นเดียวเอง”
  • “เรื่องนี้เกิดกันทั่วทั้งอุตสาหกรรมอยู่แล้ว”
  • “สภาเขาไม่ได้ดูแลงานตรวจด้านการเงินอยู่แล้ว”
  • “มันไม่ได้กระทบกองอย่างมีนัยสำคัญหรอก”

ไม่ว่าข้ออ้างจะฟังดูสมเหตุสมผลแค่ไหน หน้าที่เปิดเผยก็ยังอยู่ครบ ข้ออ้างพวกนี้ไม่ได้ปลดล็อกให้เงียบได้เลยสักอัน

อีกตระกูลของหลอกคือ การถ่วงเวลา เลื่อนการแจ้งออกไปให้ดูเหมือนยังได้แจ้งอยู่ แต่ผิดหมด:

  • “รอไปแจ้งตอน external assessment รอบหน้า”
  • “แจ้งก่อนรอบประเมินถัดไป”
  • “ยกไปแจ้งปีงบหน้า”
  • “รองานตรวจชิ้นนี้เสร็จก่อนค่อยแจ้ง”

หลักคือคำเดียว promptly แจ้งทันที ไม่ใช่รอบหน้า ไม่ใช่ปีหน้า ไม่ใช่หลังปิดงาน แล้วก็ระวังตัวล่อแบบมีเงื่อนไข “report only if” เช่น “แจ้งสภาเฉพาะเมื่อกระทบงานตรวจชิ้นใดชิ้นหนึ่ง” หรือ “แจ้งเฉพาะเมื่อจำเป็น” พวกนี้ก็ผิด เพราะพอยืนยันว่ามี nonconformance แล้ว การเปิดเผยมันไม่มีเงื่อนไข

มุมเถ้าแก่/สภา: เรื่องนี้มันเจ็บกระเป๋าและกระทบการนอนหลับของเจ้าของบ้านตรงที่ transparency (ความโปร่งใส) กับ accountability (การรับผิดรับชอบ) คือทั้งหมดที่ทำให้กองผู้ตรวจการมีค่า ถ้ากองยอมปิดข้อบกพร่องของตัวเองได้แม้แต่ครั้งเดียว รายงานทุกฉบับหลังจากนั้นก็แปดเปื้อนความสงสัยหมด สภาจะเชื่อได้ยังไงว่าเรื่องที่ ไม่ได้บอก มันมีอีกกี่เรื่อง การเปิดเผยเชิงรุกมันเลยเป็นสิ่งที่ปกป้องมูลค่าของกองเอง ไม่ใช่สิ่งที่ทำลายมัน

มุมผู้ตรวจ (คนสอบ): trigger word คือ “nonconformance with the Standards is identified” พอเห็นปุ๊บ วิธีทำข้อคือตัดก่อนเลือกทีหลัง กวาดตัวเลือกทิ้งทุกอันที่มีคำว่า “do not report”, “wait until”, “report only if”, “internally only” หรือมีข้ออ้างให้เงียบ ตัวที่เหลือรอดคือตัวที่ “เปิดเผยเดี๋ยวนี้” นั่นแหละคำตอบ

อย่ากระโดดไปเป็นฮีโร่แก้ปัญหา — แจ้งก่อน แก้ทีหลัง#

พอโจทย์ถามว่า “ขั้นแรก” ทำอะไรหลังเจอ nonconformance ตัวล่อจะเปลี่ยนหน้ากาก จากเดิม “เก็บเงียบ” กลายเป็น “รีบลงมือแก้แบบดุดัน” ซึ่งดูขยันดี แต่ก็ผิดเหมือนกัน เพราะมันข้ามขั้น document + disclose ไป

ลองดู pattern ของ “ฮีโร่รีบแก้” ที่ข้อสอบชอบวาง ทั้งหมดคือของหลอกเมื่อถามขั้นแรก:

  • “หยุดกิจกรรมตรวจทั้งหมดทันที”
  • “ตัดการติดต่อกับหน่วยปฏิบัติการทันที”
  • “เปลี่ยน/สลับตัวผู้ตรวจทันที”
  • “รื้อระบบเทคโนโลยีที่ใช้ทั้งหมด”
  • “outsource พื้นที่งานนั้นออกไปให้คนนอกทำ”
  • “แก้กฎบัตร (charter) ให้ตัดเรื่องที่มีปัญหาออกไปเลย”

มีตัวล่อที่แนบเนียนกว่านั้นอีกสองแบบ แบบแรกคือ ปรับ scope อย่าง “แก้/ปรับขอบเขตงานตรวจ” ฟังดูเป็นการจัดการที่ดูมีวุฒิภาวะ แต่การเปลี่ยน scope ต้องผ่านการอนุมัติจากสภาและ senior management ก่อน แล้วที่สำคัญคือมันไม่ได้ปลดหน้าที่เปิดเผย แบบที่สองคือ ประเมินซ้ำเพื่อกลบ อย่าง “เริ่ม external assessment ใหม่เพื่อ validate/ล้มผลเดิม” หรือ “ทำ self-assessment เพื่อลบล้าง finding” พอยืนยัน nonconformance แล้ว การหาทางประเมินใหม่มันไม่ใช่ขั้นแรก

⚠️ กับดัก: จำหลักสั้นๆ — main verb ของตัวเลือกเป็นการ “ลงมือแก้เชิงปฏิบัติการ” (halt, cease, replace, outsource, overhaul, revise charter, adjust scope) ที่ข้ามหรือแทนที่การแจ้ง = ตัดทิ้ง ถ้าตัวเลือกไหน จับคู่การแก้เข้ากับการสื่อสาร/เปิดเผย ตัวนั้นแหละคือคำตอบ

มีมุมข้ามที่ต้องระวังเป็นพิเศษ ในสถานการณ์ที่งานตรวจเจอ unreliable data (ข้อมูลที่เชื่อถือไม่ได้) จริงๆ จนต้องทำงานทางเลือก คำตอบที่ถูกจะจับคู่ “ทำ procedure ทางเลือก (perform alternative procedures)” เข้ากับ “สื่อสารข้อจำกัดนั้นออกไป (communicate the limitation)” ไม่ใช่แค่แก้อย่างเดียว จะเดินหน้าบนข้อมูลเท่าที่มี, ประมาณการเอา, หรือเลื่อนงาน โดยไม่สื่อสาร ก็ยังผิดอยู่ดี

มุมเถ้าแก่/สภา: เจ้าของบ้านไม่ได้อยากได้ยามที่พอเห็นรอยรั่วก็รีบทุบกำแพงเองเงียบๆ เขาอยากได้ยามที่มารายงานว่า “ตรงนี้มีรอยรั่ว ผมทำอะไรชั่วคราวไปแล้วนะ แต่เรื่องนี้ท่านต้องรู้และร่วมตัดสินใจ” การแจ้งก่อนแก้จึงไม่ใช่ความอืดอาด แต่คือการยอมรับว่าอำนาจตัดสินใจเรื่องใหญ่ระดับกองอยู่ที่สภา ไม่ใช่ที่ CAE คนเดียว

มุมผู้ตรวจ (คนสอบ): trigger คือ stem ถาม “FIRST/primary action” หลังพบ nonconformance คำตอบต้นแบบคือ “document the nonconformance และ communicate (พร้อมผลกระทบ/เหตุผล บวก alternative actions หรือ action plan) ไปที่สภาและ senior management” ตัวไหนเป็น operational fix ล้วนๆ ที่ข้ามการแจ้ง ตัดหมด

แจ้ง “ครบสองฝ่าย ครบทุกเนื้อ” — ไม่ใช่สรุปลอยๆ#

สมมติทำข้อจนรู้แล้วว่าต้องเปิดเผย โจทย์รอบต่อไปมันจะเปลี่ยนมุมมาถามว่า แจ้งใคร กับ แจ้งอะไร แล้วตรงนี้ก็มีตัวล่อชุดใหม่รออยู่

เรื่อง แจ้งใคร คำตอบคือ board AND senior management — ทั้งสองฝ่าย ไม่ใช่อย่างใดอย่างหนึ่ง ระวัง audience truncation (การตัดปลายทางให้แคบลง) พวก “แจ้งแค่สภา” โดยไม่ครบเนื้อ, “แจ้ง audit committee หลังงานตรวจเสร็จ”, แจ้ง “ถึง CAE” แล้วจบตรงนั้น, หรือ “แจ้งสภาเฉพาะเมื่อจำเป็น” ผิดทั้งหมด ปลายทางต้องครบสองฝ่ายเสมอ

เรื่อง แจ้งอะไร คำตอบคือ เนื้อหาครบชุด (full package) คือคำอธิบายลักษณะและสถานการณ์ที่เกิด + ผลกระทบ + การกระทำทดแทนที่ทำไป + เหตุผล ส่วนตัวล่อที่นี่คือ “การเจือจางเนื้อหา” (content dilution):

  • “แถลงกว้างๆ ลอยๆ ไม่มีรายละเอียด”
  • “เน้นเฉพาะ finding ด้านบวก”
  • “บอกแค่จำนวนงานตรวจที่ได้รับผลกระทบ”
  • “สรุปโดยไม่ลงรายละเอียด เพื่อเลี่ยงภาพลบ”
  • “แจ้งแค่แผนแก้ไข หลังลงมือแก้เสร็จแล้ว”

แล้วก็ระวังตัวล่อ “สลับเนื้อหาผิดเรื่อง” ที่เอางบประจำปี, รายการงานตรวจที่ทำเสร็จทั้งหมด, หรือความเห็นส่วนตัวของผู้ตรวจ มาใส่แทนสาระของ nonconformance พวกนี้ไม่ใช่เนื้อของการเปิดเผย ส่วนตัวล่อ scope-creep อย่าง “แจ้ง regulator ภายนอกทันที” ก็ต้องระวัง จะทำก็ต่อเมื่อกฎหมายบังคับเท่านั้น ไม่ใช่ขั้นแรกโดยอัตโนมัติ

⚠️ กับดัก: ถ้าตัวเลือกไหน “แจ้งครบทั้งสองฝ่าย แต่เนื้อหากลวง” หรือ “เนื้อหาแน่น แต่แจ้งฝ่ายเดียว” — ยังไม่ใช่คำตอบ ตัวที่ถูกต้องครบทั้งสองแกน: ปลายทางครบ (สภา + senior management) และเนื้อครบ (สถานการณ์ + ผลกระทบ + การกระทำที่ทำไป + เหตุผล)

มุมเถ้าแก่/สภา: ทำไมต้องครบสองฝ่าย ก็เพราะสภากับ senior management ทำหน้าที่คนละบทในการกำกับ ถ้าแจ้งฝ่ายเดียว อีกฝ่ายก็จะตัดสินใจบนข้อมูลไม่ครบ เหมือนบอกความจริงครึ่งเดียวให้คนนึง แล้วปล่อยอีกคนเดาเอง ส่วนที่ต้องมีเนื้อครบ ก็เพราะ “รู้ว่ามีปัญหา” กับ “รู้ว่าปัญหากระทบอะไรและทำอะไรไปแล้ว” มันคนละระดับของการตัดสินใจแก้เลย

มุมผู้ตรวจ (คนสอบ): trigger คือ stem ถาม “audience” หรือ “content” ของการเปิดเผย จับให้ออกก่อนว่าถามแกนไหน แล้วเลือกตัวที่ครบแกนนั้น (แล้วก็มักครบทั้งสองแกนในตัวเดียว) ปฏิเสธ CAE-only, board-only, positive-only, count-only, plan-only แล้วก็ของนอกเรื่องอย่างงบหรือรายการงานตรวจ

จากผลตรวจ สู่การวัดกองตัวเอง — KPI ที่ไม่ใช่แค่ “นับ”#

ปิดเรื่องเปิดเผยแล้ว มาถึงคำถามที่ CAE ต้องตอบทุกวัน ไม่ใช่แค่ตอนถูกตรวจ กองของเรา “ดี” แค่ไหน วัดยังไง นี่คือเรื่องของ performance objectives และ key performance indicators (KPIs) หรือ scorecard metrics

หลักตั้งต้นคือ CAE ต้องตั้ง performance objectives (เป้าหมายเชิงผลงาน) โดยรับฟัง input และความคาดหวังของสภาและ senior management แล้วสร้างวิธีวัดผลเทียบกับเป้านั้น แล้วหัวใจที่สอบชอบเล่นคือ ทุกตัววัดต้องมี target range (ช่วงเป้าหมาย) ให้เทียบ ไม่งั้นตัวเลขลอยๆ ก็บอกความสำเร็จอะไรไม่ได้

KPI แบ่งเป็นสองพันธุ์ อันแรก quantitative (เชิงปริมาณ) คือข้อมูลตัวเลขที่คำนวณได้ เก็บง่าย benchmark ได้ เช่น จำนวน finding ที่มีการแก้ไข, เปอร์เซ็นต์ของแผนงานตรวจที่ทำเสร็จ, เวลาเฉลี่ยในการทำงานหนึ่งชิ้น, อัตราการปิดงานตรวจ ส่วนอีกอัน qualitative (เชิงคุณภาพ) คือข้อมูลที่วัดเป็นตัวเลขตรงๆ ไม่ได้ ต้องใช้วิธีเจาะลึก เช่น questionnaire, survey, การสัมภาษณ์

⚠️ กับดัก: ข้อสอบชอบเอาตัวเลือกที่เป็นตัวเลขทั้งหมด (“รายงานต่อไตรมาส”, “เปอร์เซ็นต์ที่ implement”, “cost ต่องาน”, “เวลาเฉลี่ย”) มาแต่งตัวเป็นคำตอบของคำถาม “ตัวไหนคือ KPI เชิงคุณภาพ” — ผิดหมด เพราะทุกอันเป็นเชิงปริมาณ มีแค่ survey ความพึงพอใจ/การรับรู้ของ stakeholder เท่านั้นที่เป็นเชิงคุณภาพ

แล้วก็ระวังตัวล่ออีกอัน “ให้เลิกวัดเชิงปริมาณ หันไปวัดเชิงคุณภาพแทน” อันนี้ผิด เพราะข้อดีจริงคือ ใช้ทั้งสองแบบร่วมกัน ถึงจะได้ภาพที่ครบถ้วน (comprehensive view) ของทั้งความมีประสิทธิผลและความพึงพอใจของ stakeholder ไม่ใช่เลือกทิ้งอันใดอันหนึ่ง

มุมเถ้าแก่/สภา: สำหรับเจ้าของบ้าน KPI ของกองผู้ตรวจการไม่ใช่รายงานเอาไว้ดูสวย แต่คือคำตอบว่า “เงินที่จ่ายเลี้ยงกองนี้ได้อะไรกลับมา” ถ้าวัดผิด เช่น ไปภูมิใจกับ “ปีนี้ออกรายงานได้เยอะกว่าปีก่อน” เจ้าของบ้านอาจกำลังจ่ายเงินให้โรงงานปั๊มกระดาษ ไม่ใช่กองที่ลดความเสี่ยงจริง KPI ที่ดีต้องผูกกลับไปที่กลยุทธ์และเป้าหมายขององค์กร ไม่ใช่วัดความขยันของกองลอยๆ ในสุญญากาศ

มุมผู้ตรวจ (คนสอบ): โจทย์ถาม “ตัวไหนเป็น qualitative KPI” ในหมู่ตัวเลือกที่มีตัวเลขเพียบ เลือก survey/perception เสมอ ปฏิเสธทุกอย่างที่เป็น count, %, time, cost

หก dashboard บนโต๊ะ CAE — วัดคนละมิติ#

พอ CAE จะทำ dashboard วัดกอง the Standards ให้กรอบไว้หกตระกูล แต่ละตระกูลตอบคนละคำถาม อย่าไปจำเป็นนิยามท่องจำ ให้จำแค่ “มันวัดอะไร” ก็พอ เพราะข้อสอบมันจะเอาตระกูลมาสลับให้ตอบผิด

  • Financial metrics (internal audit function) — วัดเชิงเงิน: cost ต่อชั่วโมงของกอง, ต้นทุนจริงเทียบกับที่ประมาณไว้, และประโยชน์ที่เป็นตัวเงินที่กองสร้าง (ต้นทุนกองหักลบด้วยเงินที่องค์กรประหยัดได้จากงานตรวจ)
  • Operational metrics (internal audit function) — วัดเชิงปฏิบัติการ: เวลาที่ใช้จริงเทียบกับเวลาที่ตั้งงบไว้ต่อหนึ่งงาน, จำนวนงาน/ความเสี่ยงที่วางแผนตรวจเทียบกับที่ทำเสร็จจริง, จำนวน finding ต่องาน
  • Quality metrics (internal audit function) — วัดคุณภาพ: งานตรวจทำตามมาตรฐานและ procedure ไหม, finding ซ้ำกับงานอื่นบ่อยแค่ไหน (แปลว่าแผนแก้ของ management ได้ผลจริงหรือเปล่า) — และคุณภาพของกองวัดได้ดีที่สุดที่ ความมีประสิทธิผลของ recommendation และผลกระทบต่อองค์กร
  • Productivity metrics (internal audit function) — วัดผลิตภาพ: workload ต่อผู้ตรวจแต่ละคน, เวลาที่ลงกับแต่ละงาน, downtime เฉลี่ยของผู้ตรวจ
  • Efficiency metrics (internal audit function) — วัดความมีประสิทธิภาพ (เอาเข้า/เอาออก): ชั่วโมงทำงานเทียบกับจำนวน finding, การใช้ technology ช่วยงานตรวจ, เวลาที่ใช้ประเมิน finding และออกรายงาน
  • Effectiveness metrics (internal audit function) — วัดความมีประสิทธิผล (ผลลัพธ์จริง): ผลกระทบของ recommendation และการตอบสนองของ management ต่อ recommendation ที่มีต่อการดำเนินงานขององค์กร (รวมถึงการรับรู้ของ stakeholder ต่อกอง)

สังเกตความต่างคู่ที่ข้อสอบชอบสลับที่สุด efficiency ถามว่า “ทำเสร็จด้วยทรัพยากรเท่าไหร่” (ปัจจัยนำเข้าต่อผลงาน) ส่วน effectiveness ถามว่า “ผลลัพธ์จริงเกิดขึ้นไหม” (recommendation แก้ปัญหาได้จริงหรือเปล่า) สองคำนี้อยู่กันคนละโลกเลย

⚠️ กับดัก: “จำนวนรายงานที่ออกต่อปี” ถูกวางเป็นคำตอบของ productivity หรือ effectiveness บ่อยมาก — แต่มันคือ output volume ล้วนๆ ไม่บอกคุณภาพเลย เช่นเดียวกับ “จำนวน risk assessment ที่ทำ” หรือ “จำนวนเครื่องมือ analytics ที่ใช้” — พวกนี้เป็น input/activity ไม่ใช่ผลลัพธ์ ให้ถามตัวเองเสมอว่า ตัวเลือกนี้วัด outcome (ปัญหาที่ถูกแก้จริง, ความเสี่ยงระดับสูงที่ขุดเจอ, เป้าที่ทำได้, deviation ที่ตามไปสืบ) เทียบกับ benchmark/target ไหม ถ้าใช่คือถูก ถ้าเป็นแค่การนับดิบหรือ survey ความรู้สึกลอยๆ คือผิด

มีมุมข้ามที่ต้องจำ เวลา stem ถาม efficiency ตรงๆ ตัว “average cost per engagement (ต้นทุนเฉลี่ยต่องาน)” เป็นคำตอบที่ถูกได้ แต่มีเงื่อนไขว่าต้องไม่มองข้ามความซับซ้อน/ขอบเขตของงาน ถ้าตัวเลือกบอก “cost เฉลี่ยต่องานโดยไม่คำนึงถึงความซับซ้อน/scope” อันนั้นบิดเบือน ใช้ไม่ได้

มุมเถ้าแก่/สภา: dashboard หกตระกูลนี้คือสิ่งที่ CAE เอาขึ้นโต๊ะสภา มันบอกเจ้าของบ้านว่ากองคุ้มค่าเงินไหม (financial), ทำงานทันแผนไหม (operational), งานมีคุณภาพไหม (quality), คนทำงานเต็มกำลังไหม (productivity), ใช้ทรัพยากรคุ้มไหม (efficiency), และที่สำคัญสุด — สร้างผลลัพธ์จริงต่อองค์กรไหม (effectiveness) เจ้าของบ้านที่ฉลาดจะไม่ปลื้มแค่ตัวเลขเยอะ แต่ถามว่าตัวเลขนี้ผูกกับความเสี่ยงและเป้าหมายของบ้านตรงไหน

มุมผู้ตรวจ (คนสอบ): ถ้าตัวเลือกวัด “จำนวน” ของอะไรก็ตาม (audit, report, assessment, tool) ให้ตั้งธงสงสัยไว้ก่อน คำตอบที่ถูกในหมวดนี้เกือบทุกครั้งคือตัวที่วัด outputs เทียบกับ inputs พร้อม benchmark หรือวัด actual เทียบ target แล้วสืบ deviation

โจทย์ถามอะไร ตอบตัววัดนั้น — หนึ่ง KPI หนึ่งมิติ#

กับดักสุดท้ายของ KPI คือความ “เกือบถูก” ข้อสอบจะระบุความกังวลไว้ชัดในโจทย์ แล้วเสนอ KPI ที่วัดมิติข้างเคียง มาล่อ วิธีแก้คือ ปักคำในโจทย์ให้ตรงมิติ ก่อน แล้วค่อยเลือก KPI ที่วัดเฉพาะมิตินั้น

  • โจทย์กังวลเรื่อง timeliness (ความทันเวลา) ของรายงาน → ตอบ “เวลาเฉลี่ยในการทำรายงานให้เสร็จหลังจบ fieldwork” ไม่ใช่ “เปอร์เซ็นต์แผนที่ทำเสร็จ”
  • โจทย์กังวลเรื่อง plan completion (ทำแผนได้ครบไหม) → ตอบ “งานที่วางแผนไว้เทียบกับที่ทำเสร็จ” ไม่ใช่ “เวลาเฉลี่ยต่องาน”
  • โจทย์ถาม effectiveness ของ recommendation → ตอบ “เปอร์เซ็นต์ recommendation ที่ management นำไป implement” ไม่ใช่ “จำนวนงานตรวจต่อปี” หรือ “เวลาออกรายงาน” (สองตัวนั้นคือ output/efficiency)
  • โจทย์ถาม efficiency ของกระบวนการ → ตอบ “cost เฉลี่ยต่องาน” ไม่ใช่ “งานที่เสร็จตรงเวลา” (อันนั้นคือ effectiveness)

⚠️ กับดัก: ตัวล่อคลาสสิคคือเอา KPI ที่วัด “การแก้ไข (remediation)”, “workload”, หรือ “เฟสอื่นของงาน” มาตอบแทนมิติที่โจทย์ถามจริง เช่น โจทย์ถาม timeliness แต่เสนอ “เปอร์เซ็นต์แผนที่เสร็จ” หรือ “finding ที่มี corrective action” หรือ “งานต่อผู้ตรวจ” — ทั้งหมดวัดคนละมิติ ปฏิเสธได้เลย

แล้วถ้าโจทย์บอกว่า KPI ตัวหนึ่งแสดง ช่องว่าง (gap) เช่นอัตราปิดงานต่ำ หรือแผนกับผลจริงห่างกัน จะทำอะไรก่อน คำตอบคือ วิเคราะห์หา root cause / ทบทวนการวางแผนและการจัดสรรทรัพยากรเพื่อหาคอขวดก่อน แล้วค่อยลงมือแก้และสื่อสาร ไม่ใช่กระโดดไป “จ้างผู้ตรวจเพิ่ม”, “ลดจำนวนงานตรวจปีหน้า”, “ทำเฉพาะงานสำคัญสูง”, หรือ “รอไปแก้รอบรีวิวหน้า” พวกนี้คือตัวล่อ jump-to-resources, scope-cut, และ delay

มุมผู้ตรวจ (คนสอบ): วิธีทำหมวดนี้เร็วๆ คืออ่าน stem หา “คำมิติ” ให้เจอก่อน (timeliness? completion? effectiveness? efficiency?) จับมันไว้ในหัว แล้วค่อยไล่ตัวเลือก ตัดทุกอันที่วัดมิติอื่นทิ้ง เจอ gap ให้ตอบ “หาสาเหตุ/ทบทวนการจัดสรรก่อน” ไม่ใช่ “เพิ่มคน”

ตารางกับดักรวม#

สถานการณ์คำตอบหลอกคำตอบจริง
external assessment ชี้ nonconformanceบันทึกไว้ แต่ไม่รายงาน senior managementdocument และ communicate ให้สภาและ senior management
ข้ออ้างให้เงียบ (“กระทบงานเดียว”, “ทั้งวงการก็เป็น”, “ไม่มีนัยสำคัญ”)เก็บเป็นเรื่องภายในข้ออ้างไม่ปลดล็อก — เปิดเผยครบสองฝ่ายเสมอ
ถ่วงเวลา (“รอ assessment รอบหน้า”, “ปีงบหน้า”, “หลังปิดงาน”)เลื่อนไปแจ้งทีหลังpromptly — แจ้งทันที
ถาม FIRST action หลังพบ nonconformancehalt/cease/replace/outsource/overhaul/revise charter/adjust scopedocument + communicate ไปที่สภาและ senior management ก่อน
unreliable data ต้องทำงานทางเลือกเดินหน้าบนข้อมูลเท่าที่มี / ประมาณ / เลื่อนperform alternative procedures คู่กับ communicate the limitation
ถาม audience ของการเปิดเผยแจ้ง CAE / audit committee หลังงานเสร็จ / สภาเฉพาะเมื่อจำเป็นboard และ senior management ทั้งคู่
ถาม content ของการเปิดเผยสรุปลอยๆ / เฉพาะด้านบวก / แค่จำนวนงาน / งบ / รายการงานตรวจสถานการณ์ + ผลกระทบ + การกระทำที่ทำไป + เหตุผล
ถาม “qualitative KPI” ในตัวเลือกที่มีตัวเลขเพียบรายงานต่อไตรมาส / % implement / cost / เวลาเฉลี่ยsurvey ความพึงพอใจ/การรับรู้ของ stakeholder
วัด effectiveness/productivity ของกองจำนวนรายงานต่อปี / จำนวน risk assessment / จำนวน tooloutcome (ปัญหาที่แก้ได้จริง, ความเสี่ยงสูงที่เจอ) เทียบ benchmark/target
โจทย์ปัก timeliness ของรายงาน% แผนที่เสร็จ / งานต่อผู้ตรวจเวลาเฉลี่ยทำรายงานเสร็จหลัง fieldwork
โจทย์ปัก efficiency ของกระบวนการงานที่เสร็จตรงเวลา (=effectiveness)cost เฉลี่ยต่องาน (ที่คำนึง scope)
KPI แสดง gap แผนกับผลจริงจ้างผู้ตรวจเพิ่ม / ลดงานปีหน้า / รอรอบหน้าหา root cause + ทบทวนการจัดสรรทรัพยากรก่อน แล้วสื่อสาร

สิ่งที่จดสำหรับวันสอบ#

  • ผลตรวจภายนอกมี 4 ระดับ: fully / generally / partially / nonconformance — partial ขึ้นไปที่แย่ ทำให้อ้าง “conform กับ the Standards” ในรายงานไม่ได้ (จำเจตนา ไม่ต้องท่องจำนวนหลักการ)
  • เจอ nonconformance = document AND communicate ทันที ไม่ใช่ document เฉยๆ — เจอ “บันทึกแต่ไม่รายงาน” ตัดทิ้งอัตโนมัติ
  • ตัดตัวเลือกทุกอันที่มี “do not report / wait until / report only if / internally only” หรือมีข้ออ้างให้เงียบ
  • ถาม FIRST action = แจ้งก่อนแก้ — halt/cease/replace/outsource/overhaul/revise charter/adjust scope ที่ข้ามการแจ้ง = ผิด
  • unreliable data → alternative procedures คู่กับ communicate the limitation (การแก้อย่างเดียวยังผิด)
  • เปิดเผยต้องครบสองแกน: ปลายทาง = สภา และ senior management; เนื้อ = สถานการณ์ + ผลกระทบ + การกระทำ + เหตุผล
  • qualitative KPI = survey/perception เท่านั้น; ทุกอย่างที่เป็นตัวเลขคือ quantitative; ใช้สองแบบร่วมกันได้ภาพครบสุด
  • 6 ตระกูล metrics: financial (เงิน), operational (แผน/เวลา), quality (มาตรฐาน/ผล recommendation), productivity (workload), efficiency (input ต่อผลงาน), effectiveness (ผลลัพธ์จริง)
  • การนับดิบ (report/audit/assessment/tool) ≠ ผลงาน; คำตอบดีวัด outcome เทียบ target
  • ปักคำมิติในโจทย์ (timeliness/completion/effectiveness/efficiency) แล้วเลือก KPI ที่วัดเฉพาะมิตินั้น
  • เจอ gap ของ KPI = หา root cause / ทบทวนการจัดสรรก่อน ไม่ใช่ “เพิ่มคน” หรือ “ตัดงาน”

คุมคุณภาพของกองครบแล้ว จากนี้ไปเราเข้ากองที่ใหญ่ที่สุดของ Part 3 คือผลตรวจและการติดตาม — ตอนหน้าเริ่มด้วยเส้นแบ่งที่ข้อสอบรักที่สุด ใครเป็นเจ้าของการแก้ปัญหา แยก recommendation ของผู้ตรวจ ออกจาก action plan ของ management แล้วประเมิน residual risk ยังไง ตอนถัดไป: action plan และ residual risk

อ้างอิง: Gleim CIA Review (2026), Part 3 · IIA Global Internal Audit Standards (2024)