979 คำ
5 นาที
CIA Series ตอนที่ 48 : P3 - เมื่อสภาต้องรู้: Risk Acceptance ที่รับไม่ได้ + ปิดซีรีส์
สารบัญ

ลองนึกภาพห้องประชุมที่ตึงที่สุดของอาชีพนี้ดูนะครับ กองผู้ตรวจการเจอ risk ก้อนหนึ่งที่มองแล้วเสียวสันหลัง ถ้ามันปะทุขึ้นมาชื่อเสียงอาณาจักรพัง หรือมีคนเจ็บ หรือโดนปรับจนกระเป๋าฉีก แต่ผู้จัดการฝ่ายที่ดูแลเรื่องนี้กลับยักไหล่ บอกว่า “รับได้ ไม่เป็นไร เดี๋ยวค่อยว่ากัน” แล้วเซ็นรับความเสี่ยงนั้นไว้เฉยเลย

คำถามที่แม่ทัพกองผู้ตรวจการต้องตอบในวินาทีนั้นไม่ใช่ “ความเสี่ยงนี้ใหญ่ไหม” อันนั้นประเมินมาแล้วว่าใหญ่ ที่ต้องตอบคือ “แล้วเราทำอะไรต่อได้บ้าง” เดินไปฟ้องสภาเลยไหม เดินไปหา regulator ข้างนอกไหม หรือลงมือแก้เองเลยเพราะทนดูไม่ได้ หรือ… ยอมตามที่ฝ่ายบริหารตัดสิน เพราะเขาเป็นเจ้าของความเสี่ยงนี่นา

เอาตรงๆ นี่คือหนึ่งในบทที่ข้อสอบ Part 3 รักที่สุด เพราะทุกตัวเลือกที่ว่ามาฟังดูมีเหตุผลหมดเลย แต่มีลำดับที่ถูกอยู่ลำดับเดียว และตอนนี้ก็เป็นตอนสุดท้ายของทั้งซีรีส์ด้วย เลยจะจบเรื่อง risk acceptance ก้อนนี้ให้ขาด แล้วค่อยถอยกล้องออกไปมองทั้งเส้นทางตั้งแต่ตอนแรกสุด

ตอนที่แล้ว (ตอนที่ 47) เราลงหลักการสื่อสารผลตรวจตาม the Standards ทั้งเจ็ดคุณสมบัติ แยก finding-conclusion-recommendation กระบวนการปิดงาน exit conference ใครได้รายงานเต็มใครได้แค่สรุป และเรื่องอ่อนไหวต้องรายงานในสายก่อน แต่เราจงใจค้างเรื่องหนึ่งไว้ — Standard 11.5 การสื่อสารเมื่อฝ่ายบริหารยืนยันจะรับความเสี่ยงที่องค์กรอาจรับไม่ไหว ตอนนี้เลยจะปิดก้อนนั้นให้ขาด แล้วถอยกล้องออกไปมองทั้งเส้นทางตั้งแต่ตอนแรก

โครงของบท#

  • บันไดสามขั้นเวลาเจอ risk ที่รับไม่ได้: คุย senior management ก่อน → ไม่จบค่อยขึ้น board → board เป็นคนตัดสิน ไม่ใช่ CAE
  • CAE ไม่ใช่คนแก้ risk: หน้าที่คือ สื่อสาร และ ยกระดับ ไม่ใช่ลงไปอุดรูเอง หรือไปฟ้องคนนอก
  • Follow-up สองขา: งานตามผลจบเมื่อ ได้ผลจริง หรือ มีคนรับความเสี่ยงอย่างเป็นทางการ — อย่างใดอย่างหนึ่ง
  • ปิดด้วย ตารางกับดักรวมทั้ง Part 3 + มองย้อน 5 บทเรียนใหญ่ของทั้งซีรีส์ + สะพานข้ามไปเรื่องต่อไปของบล็อก

บันไดสามขั้น: คุยก่อน ค่อยขึ้น ค่อยให้สภาตัดสิน#

หัวใจของบทนี้อยู่ในประโยคเดียว — เมื่อ CAE (chief audit executive หัวหน้าสูงสุดของกองผู้ตรวจการ) สรุปว่าฝ่ายบริหารรับความเสี่ยงในระดับที่เกิน risk appetite หรือ risk tolerance ขององค์กร (กรอบและเพดานความเสี่ยงที่ยอมรับได้) เรื่องนี้ต้องถูก คุยกับ senior management ก่อน ถ้าคุยแล้วยังไม่คลี่คลาย ค่อยยกเรื่องขึ้น board (สภา/คณะกรรมการกำกับ) นี่คือเจตนาของ Standard เรื่อง Communicating the Acceptance of Risks — จำเจตนาพอ ไม่ต้องท่องเลข

ทำไมต้องเรียงแบบนี้ ทำไมไม่ข้ามไปหาสภาเลย ลองคิดดูนะครับ senior management คือคนที่มีอำนาจแก้เรื่องได้ในระดับปฏิบัติ เดินเข้าไปคุยกับเขาก่อนก็เท่ากับเปิดโอกาสให้เรื่องจบตรงนั้น ไม่ต้องลากขึ้นไปรบกวนสภา ทีนี้ถ้าข้ามขั้นนี้ไปฟ้องสภาทันทีทั้งที่ยังไม่เคยคุยกับผู้บริหารเลย มันก็คือกระโดดข้ามบันไดขั้นแรก และนั่นแหละคือตัวหลอกที่ข้อสอบวางดักบ่อยที่สุด

แต่มีจุดพลิกที่ต้องระวังให้ดี พอ คุยกับ senior management แล้วเรื่องยังไม่คลี่คลาย คำตอบที่ถูกจะพลิกกลับ — คราวนี้ต้องขึ้น board จริงๆ ข้อสอบชอบสลับสองสถานการณ์นี้ให้ตอบสับ ถ้าโจทย์บอกว่า “ยังไม่เคยคุยกับผู้บริหารเลย” คำตอบคือคุย senior management ก่อน แต่ถ้าโจทย์บอกว่า “คุยแล้ว ผู้บริหารยังยืนยันจะรับความเสี่ยงนั้น” คำตอบคือแจ้ง board อ่านให้ขาดว่าโจทย์อยู่บันไดขั้นไหน

แล้วพอเรื่องขึ้นไปถึงสภาแล้ว หน้าที่ของสภาคืออะไร สภาไม่ได้ลงมาอุดรูเองนะ แต่เป็นคน ตัดสินว่าจะจัดการเรื่องนี้กับฝ่ายบริหารอย่างไร เป็นบทบาทกำกับดูแล ไม่ใช่บทบาทลงมือ และที่สำคัญที่สุด CAE ไม่มีหน้าที่แก้ risk นั้นให้หาย หน้าที่ของ CAE จบแค่การสื่อสารและยกระดับตามบันได ส่วนคนตัดสินใจสุดท้ายว่าจะรับหรือไม่รับความเสี่ยงคือฝ่ายบริหารและสภา ไม่ใช่กองผู้ตรวจการ

ประเภทของ risk ที่มักถือว่าเกินเพดานองค์กรก็มีลายเซ็นชัดเจน — เรื่องที่กระทบชื่อเสียง เรื่องที่อาจทำคนเจ็บ เรื่องที่นำไปสู่ค่าปรับก้อนใหญ่หรือถูกจำกัดการทำธุรกิจ material misstatement (การแสดงข้อมูลผิดอย่างมีนัยสำคัญ) การทุจริตหรือการกระทำผิดกฎหมาย และเรื่องที่ขวางเป้าหมายเชิงกลยุทธ์อย่างมีนัยสำคัญ

มุมเถ้าแก่/สภา: สำหรับสภา บันไดนี้คือหลักประกันว่าเรื่องเสี่ยงระดับ “องค์กรพังได้” จะไม่ถูกฝ่ายบริหารรับไว้เงียบๆ แล้วปิดจนสภาไม่เคยรู้ กองผู้ตรวจการจะพยายามให้เรื่องจบที่ระดับผู้บริหารก่อน แต่ถ้าไม่จบ สภาจะได้เรื่องมาไว้บนโต๊ะเพื่อตัดสินใจเอง มันคือกลไกที่ทำให้เจ้าของอาณาจักรไม่ตื่นมาเจอไฟไหม้บ้านโดยไม่มีใครเคยเตือน

มุมผู้ตรวจ (คนสอบ): trigger คือคำว่า “management accepted a risk that may be unacceptable” พอเจอปุ๊บ ให้ไล่บันไดในหัวทันที — เคยคุย senior management หรือยัง ถ้ายัง คำตอบคือคุยก่อน ถ้าคุยแล้วไม่จบ คำตอบคือ board และระวังตัวหลอกสามตัวประจำ: “รายงาน board ทันที” (ผิดเมื่อยังไม่เคยคุยผู้บริหาร), “แจ้ง regulator/external auditor/คนนอก” (ไม่ใช่หน้าที่ CAE), และ “ไม่ทำอะไร/ยอมตามผู้บริหาร” (ทิ้งหน้าที่ยกระดับ)

⚠️ กับดัก: ตัวหลอกยอดฮิตคือให้ “report the matter to the board” เป็นขั้นแรกเลย ทั้งที่ยังไม่เคยคุย senior management — มันข้ามบันไดขั้นแรก อีกตัวคือให้ไปแจ้ง regulator หรือ external auditor ข้างนอก ซึ่งไม่ใช่ความรับผิดชอบของ CAE และอาจไปชนหน้าที่รักษาความลับด้วย และตัวที่แนบเนียนสุดคือ “ยอมรับการตัดสินใจของฝ่ายบริหาร/ไม่ทำอะไรต่อ” เพราะเขาเป็นเจ้าของความเสี่ยง — ผิด เพราะนั่นคือการทิ้งหน้าที่ยกระดับของ CAE ทิ้งไป

Follow-up สองขา: ได้ผลจริง หรือมีคนรับความเสี่ยงอย่างเป็นทางการ#

บทนี้ต่อเนื่องกับเรื่อง risk acceptance ตรงๆ เลย เพราะการติดตามผลตรวจ (follow-up) คือจุดที่บันไดข้างบนถูกเรียกมาใช้จริง เวลากองผู้ตรวจการกลับไปดูว่าเรื่องที่เคยตรวจเจอมันถูกแก้หรือยัง ให้ถามคำถามสองขานี้ไว้เสมอ

ขาแรก: corrective action ทำแล้วได้ผลตามที่ต้องการจริงไหม ถ้าได้ผลจริง — จบ งาน follow-up ถือว่าสำเร็จ ขาที่สอง (เผื่อขาแรกไม่จบ): ถ้ายังไม่ได้ผล senior management หรือ board ได้รับความเสี่ยงของการไม่แก้ไว้อย่างเป็นทางการหรือยัง ถ้ามีคนรับไว้เป็นทางการแล้ว — ก็ถือว่าจบเหมือนกัน เพราะตอนนี้เรื่องวิ่งเข้าไปอยู่ในบันได risk acceptance ข้างบนแทน แต่ถ้า ไม่เข้าทั้งสองขา — ยังไม่ได้ผล และยังไม่มีใครรับความเสี่ยงเป็นทางการ — เรื่องยังไม่จบ ต้องเฝ้าต่อหรือยกระดับ

จุดที่ต้องแม่นคือ follow-up เป็นหน้าที่บังคับ ไม่ใช่ทำก็ได้ไม่ทำก็ได้ CAE ต้องวางกระบวนการติดตามไว้เสมอ ไม่ว่าฝ่ายบริหารจะตอบรับหรือปฏิเสธคำแนะนำ และสิ่งที่นับว่า “จบ” คือ ผลลัพธ์จริง ไม่ใช่แค่ “เริ่มลงมือแล้ว” และไม่ใช่แค่ “ฝ่ายบริหารรับปากว่าจะทำ” รับปากมันไม่เท่ากับทำเสร็จ

มุมเถ้าแก่/สภา: เจ้าขององค์กรได้ประโยชน์ตรงที่ระบบนี้ปิดช่องว่าง “ตรวจเจอแล้วปล่อยลอย” ทุกเรื่องที่ตรวจเจอจะถูกตามจนได้ข้อยุติอย่างใดอย่างหนึ่ง — ไม่แก้ก็ได้แก้จริง ไม่แก้จริงก็ต้องมีคนยกมือรับผิดชอบความเสี่ยงนั้นอย่างเป็นลายลักษณ์อักษร ไม่มีเรื่องไหนหายเข้ากลีบเมฆเงียบๆ

มุมผู้ตรวจ (คนสอบ): เจอโจทย์ถามว่า “หน้าที่ของผู้ตรวจในการ follow-up คืออะไร” ให้ตอบสองขานี้ — ยืนยันว่าได้ผลจริง หรือ senior management/board รับความเสี่ยงไว้แล้ว ระวังตัวหลอกที่บอกว่า “แค่ยืนยันว่าเริ่มลงมือแล้ว ส่วนผลลัพธ์เป็นเรื่องของฝ่ายบริหาร” (ผิด ต้องยืนยันผลด้วย) หรือ “follow-up ทำเมื่อถูกสั่งเท่านั้น” (ผิด เป็นหน้าที่บังคับ) และเจอ repeat finding ที่ยังไม่ถูกแก้ คำตอบมักวิ่งไปที่ CAE ต้องดูว่ามีใครรับความเสี่ยงเป็นทางการหรือยัง — นั่นคือขาที่สอง

⚠️ กับดัก: ตัวหลอกคลาสสิคคือ “ยืนยันแค่ว่า action ถูกเริ่มแล้ว ผลลัพธ์เป็นหน้าที่ฝ่ายบริหารล้วนๆ” — ผิด ผู้ตรวจต้องยืนยันว่า ได้ผลจริง อีกตัวคือ “follow-up เป็นดุลพินิจ ทำเมื่อถูกสั่ง” — ผิด เป็นหน้าที่บังคับที่ CAE ต้องวางไว้เสมอ และตัวที่แนบเนียนคือ “ฝ่ายบริหารรับ/ปฏิเสธคำแนะนำแล้วก็ถือว่าจบ” — ผิด การรับปากไม่รับประกันว่าจะทำจริง สิ่งที่นับคือผล

อยู่ในเลนของตัวเอง: แนะนำได้ ลงมือทำเองไม่ได้ · รายงานในองค์กร ไม่ออกนอก#

เส้นสุดท้ายที่ต้องระวังตลอดทั้งเรื่อง risk acceptance และ follow-up คือเส้น “เลนของผู้ตรวจ” กองผู้ตรวจการ แนะนำ ได้ ติดตาม ได้ ยืนยัน ได้ และ ยกระดับภายในองค์กร ได้ แต่ห้ามข้ามไปสี่อย่างนี้

หนึ่ง ห้ามลงมือ ออกแบบ เขียนคู่มือ ติดตั้ง control หรือแก้ไขด้วยตัวเอง เพราะพอทำเองก็รับภาระเชิงปฏิบัติ กลายเป็นเจ้าของงานที่ต้องกลับมาตรวจทีหลัง objectivity (ความเที่ยงธรรม) พังทันที สอง ห้าม สั่งหรือบังคับ ให้ฝ่ายบริหารแก้ — กองผู้ตรวจการไม่มีอำนาจสั่งการสายปฏิบัติ ทำได้แค่คุยเพื่อเข้าใจว่าทำไมถึงล่าช้า สาม ห้าม ลงไปแก้เรื่องที่ยังค้างเอง เพราะการแก้เป็นงานของฝ่ายบริหาร และสี่ ห้าม รายงานเรื่องออกไปนอกองค์กร — ไม่แจ้ง external auditor ไม่แจ้ง regulator เพราะนั่นไม่ใช่หน้าที่ และอาจไปละเมิดหน้าที่ปกป้องข้อมูล

แต่มีจุดพลิกอีกตัวที่ต้องจำ — “ผู้ตรวจไม่ควรมีบทบาทใน follow-up เลยเพื่อรักษาความเป็นอิสระ” อันนี้ก็ ผิดเหมือนกัน การเข้าไปติดตามผลไม่ได้ทำให้ independence เสียหายเลย ตรงกันข้าม มันคือหน้าที่ด้วยซ้ำ ที่ต้องระวังมีแค่อย่าข้ามเส้นไปเป็นคน ลงมือแก้ เท่านั้นเอง

มุมเถ้าแก่/สภา: เส้นนี้ปกป้องเจ้าของอาณาจักรจากการเสีย “ผู้ตรวจอิสระ” ไปฟรีๆ ถ้าปล่อยให้กองผู้ตรวจการลงไปอุดรูเอง สภาก็จะได้ผู้จัดการเพิ่มมาหนึ่งคน แต่เสียตาอิสระที่คอยตรวจงานคนอื่นไปหนึ่งคู่ และการห้ามรายงานออกนอกก็ปกป้ององค์กรจากการที่ความลับรั่วไปถึงมือคนนอกก่อนที่สภาจะได้ตัดสินใจเอง

มุมผู้ตรวจ (คนสอบ): trigger คือกริยาเหมือนทุกครั้ง ถ้าโจทย์ให้ผู้ตรวจ write/implement/order/resolve → เกือบทั้งหมดผิด ถ้าให้ report to external auditor/regulator → ผิด ผู้ตรวจอยู่ในเลน recommend / follow up / verify / escalate internally และจำจุดพลิก — “ไม่ยุ่งกับ follow-up เลยเพื่อความเป็นอิสระ” ก็ผิด เพราะ follow-up ไม่กระทบ independence

⚠️ กับดัก: ตัวหลอกยอดฮิตคือให้ผู้ตรวจ “เขียนคู่มือ/ติดตั้ง control/แก้ไขให้เลย” ฟังดูช่วยเหลือดี แต่กลายเป็นเจ้าของงาน อีกตัวคือให้ไป “แจ้ง regulator หรือ external auditor” ทั้งที่ไม่ใช่หน้าที่และชนเรื่องความลับ และตัวที่แนบเนียนสุดคือกลับหัว — บอกว่า “ผู้ตรวจต้องถอยจาก follow-up ทั้งหมดเพื่อรักษาความเป็นอิสระ” ซึ่งก็ผิด เพราะการติดตามผลไม่ทำให้ independence เสียเลย

ตารางกับดักรวมทั้ง Part 3#

รวบตัวเด็ดจากทั้ง Part 3 มาไว้ที่เดียว เอาไว้กวาดตาก่อนเข้าห้องสอบ กติกาเดียวที่ใช้กับทุกแถวคือ อ่านกริยาและ “อยู่บันไดขั้นไหน” ในโจทย์ให้ขาดก่อนเลือก

สถานการณ์ในโจทย์คำตอบหลอกคำตอบจริง
ฝ่ายบริหารรับ risk ที่อาจรับไม่ได้ ยังไม่เคยคุยใครรายงาน board ทันทีคุย senior management ก่อน
คุย senior management แล้ว เรื่องยังไม่คลี่คลายเฝ้าดูต่อ / ปล่อยไปยกเรื่องขึ้น board
เรื่องขึ้นถึง board แล้ว หน้าที่ของ board คืออะไรboard ลงมือแก้ risk เองตัดสินว่าจะจัดการกับฝ่ายบริหารอย่างไร (กำกับ)
ใครมีหน้าที่แก้ risk ที่รับไม่ได้ให้หายCAE เป็นคนแก้ฝ่ายบริหาร/สภา — CAE แค่สื่อสารและยกระดับ
เจอ risk รับไม่ได้ ควรแจ้งใครนอกองค์กรregulator / external auditorไม่แจ้งนอก — วิ่งตามบันไดในองค์กร
ยอมตามที่ฝ่ายบริหารตัดสิน เพราะเขาเป็นเจ้าของ riskรับได้ จบเรื่องผิด — ต้องยกระดับตามบันได
หน้าที่ follow-up ของผู้ตรวจคืออะไรยืนยันแค่ว่าเริ่มลงมือแล้วยืนยันได้ผลจริง หรือมีคนรับความเสี่ยงเป็นทางการ
follow-up ทำเมื่อไรเมื่อถูกสั่ง / เป็นดุลพินิจบังคับเสมอ CAE ต้องวางกระบวนการไว้
ฝ่ายบริหารรับปากว่าจะแก้แล้วถือว่าจบรับปาก ≠ ทำเสร็จ — ต้องดูผลจริง
repeat finding ยังไม่ถูกแก้รายงาน external auditorCAE ดูว่า senior management/board รับความเสี่ยงหรือยัง
ผู้ตรวจเจอ control อ่อน ควรทำอะไรเขียน/ติดตั้ง/แก้ให้เลยแนะนำแล้วติดตาม — ฝ่ายบริหารเป็นคนแก้
ผู้ตรวจกับ follow-up เพื่อรักษาความเป็นอิสระต้องถอยออกจาก follow-up ทั้งหมดมีส่วนใน follow-up ได้ ไม่กระทบ independence
การสื่อสารผลตรวจที่ดีต้องเป็นอย่างไรยิ่งละเอียดครบทุกอย่างยิ่งดีaccurate, objective, clear, concise, constructive, complete, timely
อ้าง “conducted in conformance with the Standards” ได้เมื่อไรอ้างได้เสมอต่อเมื่อ external quality assessment รองรับ
เจอ scope limitation ที่ตัดสินผลไม่ได้ปิดเงียบ / สรุปไปเลยเปิดเผยใน report + แจ้ง board (ควรเป็นลายลักษณ์อักษร)

มองย้อนทั้งเส้น: 5 บทเรียนใหญ่ของทั้งซีรีส์#

ตอนนี้เป็นตอนปิดซีรีส์ เลยขอถอยกล้องออกมาไกลสุด มองตั้งแต่ตอนแรกที่เถ้าแก่เฝ้าลิ้นชักเงินเอง จนถึงห้องประชุมตึงๆ ที่แม่ทัพกองผู้ตรวจการต้องตัดสินใจว่าจะยกเรื่องขึ้นสภาไหม ทั้งเส้นทางนี้เดินผ่านสามช่วงใหญ่ — ตราตั้ง (กำเนิดกองผู้ตรวจการ ใน Part 1) → ภารกิจ (กายวิภาคของงานตรวจหนึ่งชิ้น ใน Part 2) → แม่ทัพ (มุมของคนดูแลทั้งกอง ใน Part 3) ทีนี้ถ้าจะสรุปทั้งหมดให้เหลือแค่ของที่จำได้จริงก่อนเข้าสนาม ก็มีอยู่ห้าเรื่อง

บทเรียนที่ 1 — อำนาจไหลจากบนลงล่างเสมอ ตั้งแต่ตอนแรกจนตอนสุดท้าย สายอำนาจไม่เคยเปลี่ยน board กำหนดและอนุมัติ mandate (อำนาจ บทบาท ความรับผิดชอบของ internal audit function) เขียนลงเป็น charter (กฎบัตร) ส่วน CAE ช่วยร่างและเสนอ ไม่ใช่เคาะเอง และเวลามีเรื่องหนักสุด — risk ที่รับไม่ได้ — สุดทางของการยกระดับก็วิ่งกลับไปที่ board เหมือนเดิม ทั้งซีรีส์นี้ board คือปลายทางของอำนาจและปลายทางของเรื่องหนัก

บทเรียนที่ 2 — independence กับ objectivity คนละเรื่อง และเป็นเส้นที่ห้ามข้ามตลอดเส้น independence (ความเป็นอิสระ) คือตำแหน่งเชิงโครงสร้างของทั้ง function วัดที่ reporting line ถึง board ส่วน objectivity (ความเที่ยงธรรม) คือใจของผู้ตรวจแต่ละคน สองคำนี้โผล่มาตั้งแต่ Part 1 และกลับมาหลอกอีกใน Part 3 ตอนที่บอกว่า “ผู้ตรวจติดตามผลไม่ได้เพราะกระทบความเป็นอิสระ” — ซึ่งผิด เพราะ follow-up ไม่กระทบ independence

บทเรียนที่ 3 — management เป็นเจ้าของ risk และ control เสมอ ผู้ตรวจแค่ประเมิน นี่คือเส้นที่กำหนดทุกอย่าง ตั้งแต่ Part 1 ที่ห้ามผู้ตรวจ own/design/implement control จนถึงตอนสุดท้ายที่บอกว่า CAE ไม่มีหน้าที่แก้ risk ที่รับไม่ได้ ทุกครั้งที่โจทย์ให้ผู้ตรวจลงมือทำแทนฝ่ายบริหาร ให้ระแวงหลอกไว้ก่อนเลย หน้าที่ของกองผู้ตรวจการคือ การให้ความเชื่อมั่น (assurance) กับให้คำแนะนำ ไม่ใช่ลงไปเป็นเจ้าของงาน

บทเรียนที่ 4 — งานตรวจหนึ่งชิ้นมีกายวิภาคที่ต้องครบขั้น จาก Part 2 — รับโจทย์ เข้าใจธุรกิจ ประเมินความเสี่ยงของงาน วางแผน จัดทีม เก็บ หลักฐาน (evidence) วิเคราะห์ บันทึกลง กระดาษทำการ (workpapers) แล้วสรุปเป็น engagement conclusion (ข้อสรุปของภารกิจ) การวางแผนคือครึ่งหนึ่งของงาน และทุกขั้นต้องมีร่องรอยหลักฐานรองรับ ข้อสอบชอบถามว่าขั้นไหนมาก่อนขั้นไหน — ลำดับสำคัญพอๆ กับเนื้อหา

บทเรียนที่ 5 — สื่อสารและตามผลคือปลายทางที่กินน้ำหนักข้อสอบมากที่สุด เกือบครึ่งของ Part 3 อยู่ตรงนี้ ผลตรวจต้อง accurate, objective, clear, concise, constructive, complete, timely ต้องปิดงานด้วย exit conference ต้องมี final communication ที่ CAE อนุมัติ ต้องประเมิน residual risk (ความเสี่ยงที่เหลือหลังใส่ control) แล้วตามผลจนจบตามบันได risk acceptance ที่เพิ่งเรียนในตอนนี้ ตรวจเจอแล้วปล่อยลอยคือความล้มเหลว งานจริงจบที่การตามให้เรื่องได้ข้อยุติ

สิ่งที่จดสำหรับวันสอบ#

  • บันได risk acceptance: เจอ risk รับไม่ได้ → คุย senior management ก่อน → ไม่จบค่อยขึ้น board → board ตัดสินวิธีจัดการ ไม่ใช่ลงมือแก้
  • CAE ไม่มีหน้าที่ resolve risk — หน้าที่คือสื่อสารและยกระดับเท่านั้น
  • อ่านบันไดให้ขาด: ยังไม่คุยผู้บริหาร = คุยก่อน · คุยแล้วไม่จบ = ขึ้น board — โจทย์สลับสองอันนี้ประจำ
  • ไม่แจ้งนอกองค์กร: ไม่ regulator ไม่ external auditor — วิ่งตามบันไดในองค์กร
  • follow-up สองขา: ได้ผลจริง หรือ senior management/board รับความเสี่ยงเป็นทางการ — อย่างใดอย่างหนึ่งถึงจบ
  • follow-up บังคับ ไม่ใช่ดุลพินิจ · รับปาก ≠ ทำเสร็จ นับที่ ผลจริง
  • ผู้ตรวจอยู่ในเลน: recommend / follow up / verify / escalate internally — ห้าม write/implement/order/resolve
  • follow-up ไม่กระทบ independence — “ถอยจาก follow-up เพื่อความเป็นอิสระ” คือคำตอบหลอก
  • ทั้งซีรีส์อ่านกริยาและ “ใคร/บันไดขั้นไหน” ก่อนเลือก — คำตอบหลอกส่วนใหญ่คือของจริงที่วางผิดคน ผิดกริยา หรือผิดลำดับ

ถ้าห้าบทเรียนนี้อยู่ครบในหัว แปลว่าเดินจากตอนแรกมาถึงปลายทางจริงแล้วครับ

ทั้งซีรีส์ CIA นี้เดินจาก “กองผู้ตรวจการนี้เป็นใคร” ใน Part 1 มาเป็น “ทำภารกิจหนึ่งครั้งยังไงให้ครบขั้น” ใน Part 2 แล้วจบที่ “นั่งเก้าอี้แม่ทัพดูแลทั้งกองยังไง” ใน Part 3 — จากคนเฝ้าลิ้นชัก สู่กองที่มีตราตั้ง สู่แม่ทัพที่ต้องกล้ายกเรื่องหนักที่สุดขึ้นสภา เนื้อหาสอบทั้งสามพาร์ทม้วนกลับมาที่แกนเดียว: รู้ว่าตัวเองยืนตรงไหน ใครเป็นเจ้าของอะไร และเรื่องหนักต้องวิ่งขึ้นบันไดขั้นไหน

ที่เขียนซีรีส์นี้มาทั้งหมดมันคือบันทึกการเรียนของคนที่กำลังลุยอ่านเพื่อไปสอบ ไม่ใช่ตำราของผู้เชี่ยวชาญนะครับ เป็นแค่การจดสิ่งที่เพิ่งเข้าใจ วางกับดักที่เพิ่งโดนหลอก ไว้กันตัวเองพลาดซ้ำ ถ้าใครกำลังเดินเส้นเดียวกันอยู่ ก็หวังว่าบันทึกพวกนี้จะช่วยให้มองภาพรวมออกเร็วขึ้น แล้วค่อยไปเก็บรายละเอียดจาก the Standards กับหนังสือหลักอีกที

และถ้ายังไม่หนำใจกับสาย audit/assurance ก่อนหน้านี้เคยเดินเส้น CISA มาก่อน ซึ่งเป็นอีกด้านของเหรียญเดียวกัน — มองระบบและ IT เป็นตัวตั้งแทนที่จะมองกระบวนการองค์กรเป็นตัวตั้ง ใครสนใจว่าทำไมถึงไปทางนั้นและมันต่อกับ CIA ยังไง แวะอ่านได้ที่ ทำไมถึงเลือกสาย CISA ส่วนซีรีส์ CIA ขอปิดไว้ตรงนี้ — ตราตั้งครบ ภารกิจครบ แม่ทัพพร้อม แล้วเจอกันในสนามสอบจริงครับ

ขอบคุณที่อ่านมาจนถึงบรรทัดสุดท้ายนะครับ ถ้าบันทึกชุดนี้ช่วยให้ใครสักคนมองภาพ CIA ออกชัดขึ้นแม้นิดเดียว ก็คุ้มค่าที่ได้นั่งจดแล้ว ขอให้สนุกกับการอ่านเล่มจริงต่อ แล้วเจอกันในสนามสอบครับ

อ้างอิง: Gleim CIA Review (2026), Part 3 · IIA Global Internal Audit Standards (2024)